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Die Automobilindustrie befindet sich derzeit in einer Phase des fundamentalen 
Wandels. Zwei Entwicklungen sind hierbei von besonderer Bedeutung: die Er- 
setzung klassischer Verbrennungskraftmaschinen durch elektrische Antriebe 
und die Entwicklung vollständig autonom fahrender Fahrzeuge. Bisher sind in 
der Europäischen Union zwar noch keine Personenkraftwagen zugelassen, die 
vollständig autonom fahren (ausgenommen Fahrzeuge, die zu Entwicklungs- 
und Forschungszwecken eine Sonderzulassung besitzen). Es ist allerdings nur 
eine Frage der Zeit, bis autonom fahrende Fahrzeuge in den Markt eintreten. 
Der Übergang zu vollständig autonom fahrenden Kraftfahrzeugen stellt die Au- 
tomobilhersteller vor verschiedene Herausforderungen, insbesondere mit Blick 
auf Fragen der Verantwortung. An die technischen Systeme zur Realisierung 
des autonomen Fahrens werden in puncto Sicherheit und Zuverlässigkeit dabei 
höhere Anforderungen gestellt als an menschliche Fahrzeugführer. Um diesen 
Anforderungen gerecht zu werden, ist eine entsprechende Funktionsabsiche- 
rung der jeweils beteiligten Systeme erforderlich. Dabei unterliegen jedoch 
nicht nur die neuen Systeme strengen Anforderungen. Auch alle klassischen 
Fahrzeugsysteme, die zur Bereitstellung bzw. Aufrechterhaltung all jener si- 
cherheitskritischen Funktionen erforderlich sind, die ihrerseits notwendig sind, 
um das autonome Fahren zu realisieren, müssen an die neuen Anforderungen 
angepasst werden. Dementsprechend besteht nicht nur bezüglich der neu zu 
entwickelnden, sondern auch bezüglich bereits bestehender technischer Syste- 
me Forschungsbedarf. 

Generell werden neue technische Systeme nach bewährten Methoden entwi- 
ckelt und ihre Zuverlässigkeit wird auf der Basis der in der Industrie geltenden 
Standards quantitativ bewertet. In der Serienentwicklung ist dieser Prozess 
klar definiert. In der Vorentwicklung hingegen gibt es aufgrund der zeitlichen 
Beschränkungen und der begrenzten Datenlage keine umfassenden Methoden 
zur Durchführung der erforderlichen Untersuchungen und zur Bewertung der 
Zuverlässigkeit. 

Vor diesem Hintergrund wird in der vorliegenden Arbeit eine Methode ent- 
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wickelt, anhand derer die Zuverlässigkeit technischer Systeme auch in der 
automobilen Vorentwicklung qualitativ und quantitativ bewertet werden kann. 
Im Kern besteht diese Methode aus einer Kombination von physikalischen und 
stochastischen bzw. kombinatorischen Modellen der fraglichen Komponen- 
ten. Durch die Kopplung mit physikalischen Komponentenmodellen können 
die andernfalls rein stochastischen Zuverlässigkeitsmodelle mit verschiede- 
nen Komponentenmodellen und unterschiedlichen Abstraktionsgraden para- 
metriert werden, was erforderlich ist, um den Gegebenheiten in der automo- 
bilen Vorentwicklung gerecht zu werden. Da die Berechnungen auf realen 
Belastungsdaten bzw. auf plausiblen Schätzungen beruhen, können deutlich 
spezifischere Zuverlässigkeitsaussagen getroffen werden. 

Der Fokus der in dieser Arbeit durchgeführten Untersuchungen liegt auf dem 
System der elektrischen Energieversorgung. Dabei werden die folgenden Kom- 
ponenten einer detaillierten Betrachtung unterzogen: die Blei-Säure-Batterie 
als Energiespeicher, ein klassischer Klauenpolgenerator mit passiver und akti- 
ver Gleichrichtung als Energiequelle, ein Gleichspannungswandler zur Verbin- 
dung der verschiedenen Spannungsebenen in einer Architektur mit 12V- und 
48V-Spannungsebene sowie verschiedene Typen von automobilen Schmelzsi- 
cherungen als Teilsystem der Vernetzung. Am Beispiel des rein stochastischen, 
auf der Weibullverteilung basierenden Modells des Ausfallverhaltens von Blei- 
Säure-Batterien kann gezeigt werden, dass die empirisch ermittelten Ausfall- 
daten den wesentlichen Faktor für die Zuverlässigkeitsbewertung darstellen. 
Die im Rahmen der vorliegenden Arbeit angestellten Zuverlässigkeitsberech- 
nungen beruhen auf Belastungsdaten, die aus Versuchsfahrten stammen, die 
mit zwei Fahrzeugmodellen — einem Audi A3 und einem Audi A8 - auf unter- 
schiedlichen Strecken vorgenommen wurden. Die aus den durchgeführten Ver- 
suchsfahrten gewonnenen Messergebnisse dienen dabei als Eingangsdaten für 
die Belastungsanalyse und bilden in dieser Arbeit die Basis für die quantitative 
Zuverlässigkeitsbewertung des Generators, des Gleichspannungswandlers und 
der Schmelzsicherungen. Um eine analoge Zuverlässigkeitsbewertungen für 
alle Komponenten durchführen zu können, werden entsprechende abstrahierte 
Modelle entwickelt und die dazugehörigen physikalischen Grundgleichungen 
diskutiert. Die so entwickelten physikalischen Modelle werden anschließend 
mit Zuverlässigkeitsmodellen gekoppelt, die auf der Basis der jeweiligen kriti- 
schen Komponentenfehler aufgebaut werden. Hierfür werden die Fehlermög- 
lichkeiten sowie Fehlereinflüsse aller Komponenten analysiert. Anhand dieser 
Modelle wird abschließend eine quantitative Zuverlässigkeitsbewertung für 
das Gesamtsystem der elektrischen Energieversorgung in Bezug auf sicher- 
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heitsrelevante elektrische Verbraucher durchgeführt. 

Durch die Anwendung der in dieser Arbeit entwickelten Methode auf die auto- 
mobile elektrische Energieversorgung kann im Ergebnis gezeigt werden, dass 
sich — auf der Basis entsprechender Modellabstrahierungen und sofern eine 
hinreichende Datenlage gegeben ist — umfassende Zuverlässigkeitsbewertun- 
gen auch in der automobilen Vorentwicklung durchführen lassen. Konkret kann 
aus den hier angestellten Berechnungen abgeleitet werden, dass eine klassische 
elektrische Energieversorgung, die allein auf der 12V-Spannungsebene ope- 
riert, nicht dazu geeignet ist, hochautomatisierte elektrische Verbraucher mit 
hohen Zuverlässigkeitsanforderungen zu versorgen. Daher ist, um sicherheits- 
relevante Verbraucher angemessen zu versorgen, mindestens die Einführung 
von Fehlerisolationsmechanismen erforderlich. Dies gilt auch für Architektu- 
ren, in denen die elektrische Energieversorgung auf zwei Spannungsebenen 
realisiert ist. Durch die Einführung einer zweiten Spannungsebene und den 
damit erforderlichen Gleichspannungswandler werden zwar einige Fehlerme- 
chanismen von der 12V-Spannungsebene isoliert. Dennoch beeinflussen die 
Fehlerbilder nicht sicherheitsrelevanter Verbraucher (QM-Verbraucher) die 
Zuverlässigkeit der elektrischen Energieversorgung deutlich stärker als die 
Fehlerbilder der so isolierten Komponenten, beispielsweise des Generators. In 
diesem Zusammenhang konnte gezeigt werden, dass ein Ausfall der sicher- 
heitsrelevanten Verbraucher am besten mittels einer Isolation der nicht sicher- 
heitsrelevanten Verbraucher verhindert werden kann. Die vorliegende Arbeit 
konnte aufzeigen, dass für die Versorgung sicherheitsrelevanter Verbraucher 
Fehlerisolationsmechanismen benötigt werden. 
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The automotive industry is currently undergoing a phase of fundamental 
change. Two developments are of particular importance here: the replacement 
of conventional combustion engines with electric drives, and the advancement 
of fully autonomous vehicles. Although no fully autonomous vehicle has been 
registered in the European Union yet (except for those with a special permit 
for research and development purposes), it is only a matter of time for fully 
autonomous vehicles to enter the market. 

The transition to fully autonomous vehicles poses various challenges for auto- 
motive manufacturers, particularly concerning questions of responsibility. In 
terms of safety and reliability, the requirements placed on the technical systems 
that are required to realize autonomous driving are stricter than those placed on 
human drivers. To meet these requirements, the systems involved must be func- 
tionally safeguarded. However, not only the systems to be newly implemented 
are subject to these strict requirements. The same holds for those systems that 
are already in use and that are required to provide or maintain safety-critical 
functions which, in turn, are necessary to realize autonomous driving. For this 
reason, research and development has to be done on both already existing and 
newly developed technical systems. 

In general, the development of new technical systems is done according to 
well-established methods, and their reliability is assessed quantitatively based 
on time-proven industry standards. With regards to serial development, this 
process is clearly defined. In the context of pre-development, however, due to 
the time constraints and the limited data available, there are no commensurable 
comprehensive methods for conducting the necessary analyses and for evalua- 
ting reliability. 

Against this backdrop, the goal of the present thesis is to develop a method 
that can be used to both qualitatively and quantitatively assess the reliability 
of technical systems in automotive pre-development. In essence, this method 
consists of a combination of physical and stochastic or combinatorial models 
of the components to be analyzed. By so coupling the otherwise purely sto- 
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chastic reliability models with physical component models, the method can 
be parameterized with different component models and different levels of 
abstraction, which is a prerequisite to meet the requirements of automotive 
pre-development. 

This thesis’ research focus is on the energy supply system. The following 
components will be examined in detail: lead-acid batteries as energy storage 
devices, classic claw-pole generators with passive and active rectification as 
energy sources, DC/DC converters for connecting the different voltage levels 
in architectures with both 12V and 48V voltage levels, and different types of 
automotive fuses as subsystems of the wiring harness. Using the example of a 
purely stochastic model of the failure behavior of automotive lead-acid batte- 
ries based on the Weibull distribution, it turns out that the decisive factor for 
making reliability assessments are the empirically determined failure data. 
The calculations performed in this thesis are based on empirically obtained 
load data from test drives with two vehicles, an Audi A3 and an Audi A8, on 
different routes. This allows for a significant increase in the specificity of the 
reliability assessments performed. (The method can also be applied, however, 
if no empirical data is available. In this case, plausible estimates can be used 
as a substitute for real data.) The measurement results obtained from the test 
drives performed serve as input data for the load analysis and also form the 
basis for the quantitative reliability assessment of the generator, the DC/DC 
converter, and the fuses. To perform analogous reliability evaluations for all 
components, corresponding abstracted models are developed and the associa- 
ted basic physical equations are discussed. The physical models developed in 
this way are then coupled with reliability models built on the respective critical 
component faults. To this end, both the failure modes and the influences of 
all components are analyzed. Finally, based on these models, a quantitative 
reliability assessment concerning safety-relevant electrical loads is performed 
for the overall power supply system. 

By applying the method developed in this work to the automotive power sup- 
ply, it can be shown that if both appropriate model abstractions and sufficient 
data are available, comprehensive reliability evaluations in the context of auto- 
motive pre-development are possible. Specifically, the calculations performed 
in this thesis show that a classic power supply operating solely on the 12V 
voltage level is not suitable for supplying highly automated electrical consu- 
mers with high-degree reliability requirements. Therefore, the introduction of 
fault isolation mechanisms is required as a minimum to adequately supply 
safety-relevant loads. This also applies to architectures in which the power 
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supply is implemented on two voltage levels. However, while the introduction 
of a second voltage level and a corresponding DC/DC converter is sufficient to 
isolate some fault mechanisms from the 12V voltage level, the fault patterns of 
non-safety-related consumers (QM consumers) have a much stronger influence 
on the reliability of the electrical power supply than the fault patterns of the 
components isolated in this way (e.g., the generator). In this context, it can 
be shown that a failure of the safety-relevant consumers can best be prevented 
by isolating the non-safety-relevant consumers. The main result of the pre- 
sent thesis, then, is that the electrical power supply requires a fault isolation 
mechanism to supply safety-relevant consumers with adequate reliability. 
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1 Einleitung 


Die Einleitung besteht aus drei aufeinander aufbauenden Unterkapiteln: Zu 
Beginn wird die Motivation der vorliegenden Dissertation mit dem Titel ,,Me- 
thode zur Bewertung der Zuverlässigkeit der elektrischen Energieversorgung in 
der automobilen Vorentwicklung“ vorgestellt. Im Anschluss daran folgen die 
Auflistung und Erläuterung der zu beantwortenden Forschungsfragen sowie 
die Darstellung der sich daraus ergebenden Zielstellungen für die durchzufüh- 
renden Analysen. Das Kapitel schließt mit einer Übersicht zur Gliederung der 
Arbeit. 


1.1 Motivation 


Durch den zunehmenden Einsatz automatisierter Assistenzsysteme befindet 
sich die Entwicklung von Personenkraftwagen im Wandel. Die ersten Assis- 
tenzsysteme wie z. B. das Antiblockiersystem (ABS) oder die Elektronische 
Stabilitätskontrolle (ESC) waren auf bestimmte Bereiche bzw. Funktionen 
beschränkt und wurden zur Erhöhung der Eigensicherheit entwickelt. Neue 
Assistenzsysteme hingegen sollen die gesamte Fahrzeugführung übernehmen 
und nicht nur die Eigen-, sondern auch die Verkehrssicherheit verbessern. 
Zusätzlich soll der Komfort erhöht werden. 

Zu diesen neuen Assistenzsystemen zählen bspw. Kamera- und Radarsysteme, 
die in Personenkraftwagen integriert und zur Übernahme der Längs- und Quer- 
führung eingesetzt werden. Ein weiteres Beispiel istder Abstandsregeltempomat 
(ACC), eine Erweiterung des klassischen Tempomats. Der ACC ermöglicht 
es, die Fahrzeuggeschwindigkeit an den Verkehrsfluss im Allgemeinen sowie 
insbesondere an die Geschwindigkeit des jeweils vorausfahrenden Fahrzeugs 
anzupassen. Die Abstandsmessung wird dabei über ein Radarsystem realisiert. 
Ein drittes Beispiel für ein neuartiges Assistenzsystem, das sich ebenfalls 
bereits im Serieneinsatz befindet, ist der Spurhalteassistent (LKA). Anhand 
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von Kameradaten werden Fahrbahn-, Rand- und Begrenzungsmarkierungen 
erkannt, auf deren Basis die Fahrtrajektorie berechnet wird. Um die Einhaltung 
der so ermittelten Fahrtrajektorie zu regeln, ist ein aktiver Systemeingriff erfor- 
derlich. Dies wird durch den Einsatz elektrischer bzw. elektrisch-hydraulischer 
Servolenkungen erméglicht [9]. 

Nach geltendem Recht erfordern alle bisher in Serie gebrachten Assistenzsys- 
teme die volle Aufmerksamkeit des Fahrzeugfiihrers. Die Fahrzeugführung 
liegt allein in seiner Verantwortung [56]. Zukiinftige Assistenzsysteme wie 
bspw. der Autobahnassistent (ABA) erfordern keine vollständige Aufmerk- 
samkeit des Fahrzeugführers mehr und steuern das Kraftfahrzeug bei geringen 
Geschwindigkeiten selbst. Weitere Assistenzsysteme werden folgen und die 
Möglichkeiten hinsichtlich des Grads der Automatisierung deutlich erweitern. 
Zur Kategorisierung hochautomatisierter Assistenzsysteme wird zwischen 
fünf Automatisierungsstufen unterschieden. Diese sind in Tabelle 1.1 aufgelis- 
tet [56]. Gemäß dieser Kategorisierung entspricht Stufe 0 einem Kraftfahrzeug 


Stufen 0 1 2 3 4 
Quer- und Längsführung | Fahrer | Fahrer | System | System | System 


Umfeldüberwachung | Fahrer | Fahrer | Fahrer | System | System 
Riickfallebene Fahrer | Fahrer | Fahrer | Fahrer | System 


Tabelle 1.1: Automatisierungsstufen des automatisierten Fahrens nach [56]. 


ohne jegliche Assistenzsysteme und Stufe 4 einem vollautomatisierten bzw. 
autonom fahrenden Kraftfahrzeug. Für die Einstufung ist entscheidend, ob die 
Quer- und Längsführung, die Umfeldüberwachung sowie die Rückfallebene 
vom Fahrzeugführer übernommen oder aber von dem bzw. den Assistenz- 
systemen umgesetzt werden. Der Automatisierungsgrad aller derzeit in Serie 
eingesetzten Systeme ist auf Stufe 2 begrenzt, da die Umfeldüberwachung 
und die Rückfallebene bisher noch in jedem Fall durch den Fahrzeugführer 
realisiert werden müssen. Ein System wie der Autobahnassistent wäre als 
Stufe-3-Assistenzsystem zu qualifizieren, da die Fahrzeugführung und die Ab- 
standsregelung hier nicht länger vom Fahrzeugführer, sondern autonom vom 
System durchgeführt würden. Die Rückfallebene würde hingegen weiterhin 
durch den Fahrzeugführer realisiert. Das Fahrzeug kann im Not- oder Fehler- 
fall also in einen sicheren Zustand geführt werden, z. B. durch Bremsung bis 
zum Stillstand. Dies muss allerdings weiterhin vom Fahrzeugführer übernom- 
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men werden. Dementsprechend handelt es sich beim Autobahnassistenten um 
ein Stufe-3- und nicht um ein Stufe-4-Assistenzsystem. 

Um der Stufe 4 zu entsprechen, muss ein Assistenzsystem zusätzlich zur Quer- 
und Längsführung sowie zur Umfeldüberwachung auch die Rückfallebene 
umsetzen. Der sichere Zustand, bspw. durch einen Nothalt, muss also durch 
das Fahrzeug bzw. das Assistenzsystem selbst und damit unabhängig vom 
Fahrzeugführer erreicht werden können [103]. Um diese Anforderung erfüllen 
zu können, müssen die das Assistenzsystem konstituierenden Komponenten, 
Sensoren, Steuergeräte und Aktoren redundant sowie fehlertolerant ausgelegt 
werden. Darüber hinaus ergeben sich auch an die Kommunikationsverbindun- 
gen und an die elektrischen Energieversorgung deutlich höhere Anforderungen. 
Betrachten wir diesbezüglich zunächst den aktuellen Stand der Technik in Be- 
zug auf Sensoren und Steuergeräte sowie in Bezug auf Aktoren: 

Sensoren und Mikroprozessoren können bereits heute in kosteneffizienter 
Weise redundant und fehlertolerant ausgelegt werden. Aktuelle Steuergeräte 
besitzen, falls darauf sicherheitsrelevante Softwareanteile ausgeführt werden, 
redundante Prozessorarchitekturen [86], wobei meist mindestens zwei Mikro- 
controller oder Multicore-Prozessoren [6] eingesetzt werden. 

Zu den sicherheitsrelevanten Aktoren im Automobil gehören die elektrischen 
Maschinen der elektrischen Servolenkung und des elektrischen Bremssystems. 
Elektrische Bremssysteme, bestehend aus elektrischen Ventilen und Pumpen, 
sind durch die mechanisch-hydraulische Kopplung mit der Rückfallebene 
„Fahrer“ verbunden. Mit zunehmendem Automatisierungsgrad und der Ein- 
führung von By-Wire-Systemen müssen die Bremssysteme über mindestens 
zwei Aktoren zum Stellen der Bremskraft verfügen. 

Im Hinblick auf die Faktoren „Kommunikation“ und „die elektrische Energie- 
versorgung“ lässt sich die derzeitige Situation folgendermaßen zusammenfas- 
sen: 

Kommunikationsverbindungen sind im Automobilbereich bereits durch ver- 
schiedene Kommunikationsstandards (CAN, LIN, MOST, FR etc.) redundant 
und diversitär ausgelegt. Mit Automotive Ethernet [102] wurde zudem ein 
weiterer, äußerst leistungsfähiger Kommunikationsstandard eingeführt, durch 
den die Zuverlässigkeit und die Sicherheit der Kommunikation weiter erhöht 
werden konnten. 

Unabhängig von der Ausführung sicherheitsrelevanter Assistenzsysteme be- 
nötigen die Verbraucher (Sensoren, Steuergeräte und Aktoren) eine stabile 
und zuverlässige elektrische Energieversorgung. Die Stabilität der Spannungs- 
versorgung ist wissenschaftlich bereits gut untersucht und ein Großteil der 
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Fahrzeughersteller verfügt über eigene Standards zur Einhaltung der Span- 
nungsstabilität. Die Zuverlässigkeit der elektrischen Energieversorgung stand 
bisher jedoch nicht im Fokus der Fahrzeugentwicklung, da diesbezügliche 
Sicherheitsziele durch gesonderte Anforderungen in den jeweiligen Domänen 
realisiert werden konnten. Angesichts der neueren Entwicklungen ist dieses 
Vorgehen jedoch nicht länger zu empfehlen. Aufgrund des zunehmenden Ein- 
satzes von Assistenzsystemen und insbesondere aufgrund des Anstiegs von 
deren Automatisierungsgrad ist es unabdingbar, die Zuverlässigkeit der elek- 
trischen Energieversorgung zu garantieren. Zu diesem Zweck müssen neue 
Komponenten für die elektrischen Energieversorgung eingeführt werden und 
die bereits eingesetzten Komponenten müssen hinsichtlich ihrer Zuverlässig- 
keit untersucht und ggf. verbessert werden. 

Wenn in der elektrischen Energieversorgung Fehler auftreten, kann dies da- 
zu führen, dass die Verbraucher nicht mehr hinreichend mit Energie versorgt 
werden und in der Folge ihre Funktion nicht oder zumindest nicht mehr 
vollumfänglich erfüllen können. Die Zuverlässigkeit der elektrischen Energie- 
versorgung im Ganzen leitet sich dabei aus der Zuverlässigkeit der genutzten 
Teilsysteme ab. An die elektrische Energieversorgung für hochautomatisierte 
Assistenzsysteme bestehen dabei besonders hohe Anforderungen, da im Feh- 
lerfall die Versorgung aller sicherheitsrelevanten Verbraucher garantiert sein 
muss. Um dies zu bewerkstelligen, ist zweierlei notwendig: Zum einen ist die 
Neuentwicklung von Komponenten erforderlich, um die Rückwirkungsfreiheit 
(Fehlertoleranz) garantieren zu können. Diese Komponenten zur Fehleriso- 
lation bzw. zur Sicherstellung der Rückwirkungsfreiheit müssen hinsichtlich 
ihrer Zuverlässigkeit untersucht werden. Zum anderen ist es wichtig in Erfah- 
rung zu bringen, welche Fehler in den bisher eingesetzten Komponenten mit 
welcher Wahrscheinlichkeit zum Ausfall der elektrischen Energieversorgung 
führen. Hierbei bestehen zwei Probleme: Erstens sind Grundlagendaten zur 
Zuverlässigkeit der Komponenten der elektrischen Energieversorgung nur in 
unzureichender Menge vorhanden. Zweitens kann aufgrund des zeitlich be- 
grenzten Horizonts der Vorentwicklung keine Serienbewertung hinsichtlich 
der Zuverlässigkeit durchgeführt werden. 
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Vor dem Hintergrund der im vorigen Unterkapitel geschilderten Ausgangsla- 
ge besteht die Zielstellung der vorliegenden Arbeit in der Entwicklung und 
Anwendung einer Methode zur Bewertung der Zuverlässigkeit technischer 
Systeme in der automobilen Vorentwicklung, wobei die Methode am Beispiel 
der elektrischen Energieversorgung entwickelt und validiert werden soll. Zu 
diesem Zweck werden verschiedene physikalische und stochastische Modelle 
fiir die in Serie eingesetzten Komponenten vorgestellt und diskutiert. Diese 
Modelle stammen zum einen aus der Literatur und zum anderen aus eige- 
nen Felduntersuchungen und dienen zur Bewertung der Zuverlässigkeit der in 
dieser Arbeit untersuchten Komponenten. In der Serienentwicklung wird die 
Zuverlässigkeit von elektrischen Energieversorgungssystemen auf der Grund- 
lage der DIN-Norm 61508 [14] beurteilt, wobei in der ISO-Norm 26262 [68] 
ein umfassender und speziell für den Automobilsektor ausgelegter Prozess für 
die Zuverlässigkeitsbewertung in der Serienentwicklung beschrieben wird. Im 
Zentrum dieses Prozesses stehen die Bewertung von Risiken sowie die darauf 
basierende Ableitung von Sicherheitszielen. Jedes Sicherheitsziel unterliegt 
entsprechend der jeweiligen Gefahren- und Risikoeinstufung eigenen Grenz- 
werten. 

Auf den beiden oben genannten Normen bzw. Standards baut grundsätzlich 
auch der Entwicklungsprozess für sicherheitsrelevante und hochautomatisier- 
te Assistenzsysteme auf. In der automobilen Vorentwicklung stehen jedoch 
nicht genügend Entwicklungsdaten zur Verfügung, um Hardware-Metriken zu 
berechnen und eine ganzheitliche Zuverlässigkeitsbewertung durchzuführen. 
Hinzu kommt, dass die verfügbaren Standards und Handbücher nur automo- 
tivspezifische Komponenten auf Bauteilebene abdecken (vgl. Unterkapitel 2.5). 
Beide Domänen — sowohl Software als auch Hardware — sind in einem frühen 
Entwicklungsstadium und dienen der Komponentenspezifikation. 

Um dieser Problematik Abhilfe zu schaffen, wird eine Methode zur Bewertung 
der Zuverlässigkeit in der automobilen Vorentwicklung benötigt. Dabei stehen 
die folgenden Fragestellungen im Zentrum der Untersuchungen: 


1. Welche Grundanforderungen bestehen aus rechtlicher und normativer 
Perspektive an die elektrischen Energieversorgung sicherheitsrelevanter 
Verbraucher? 
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2. Kann die Zuverlässigkeit in der automobilen Vorentwicklung auf der 
Basis einer Kombination aus abstrakten Modellen zukünftiger Kom- 
ponenten und Erfahrungswerten aus Felddaten und Studien bewertet 
werden? 


3. Welche Faktoren beeinflussen die Zuverlässigkeit der elektrischen Ener- 
gieversorgung? 


a) Wie beeinflusst die Architektur der elektrischen Energieversorgung 
deren Zuverlässigkeit? 


b) Wie beeinflusst die spezifische Komponentenbelastung die Zuver- 
lässigkeit der jeweiligen Komponente und damit die Zuverlässig- 
keit der elektrischen Energieversorgung im Gesamten? 


4. Welche Architektur ermöglicht eine kosteneffiziente und hinreichend 
zuverlässige elektrische Energieversorgung? 


Angesichts dieser Fragestellungen lässt sich die in dieser Arbeit verfolgte 
Zielstellung wie folgt konkretisieren: Da in frühen Entwicklungsphasen na- 
turgemäß keine ausreichende Datenlage bestehen kann, muss eine Methode 
entwickelt werden, die eine Bewertung der Zuverlässigkeit in der automobilen 
Vorentwicklung auch unabhängig von empirisch gewonnenen Daten möglich 
macht. Dies soll erreicht werden, indem Modelle der typischen Komponen- 
ten der automobilen elektrischen Energieversorgung entwickelt werden, die 
anstelle der nicht vorhandenen empirischen Daten als Grundlage der Zuverläs- 
sigkeitsbewertung dienen. 

Inwieweit die Belastung bestimmter Komponenten deren eigene Zuverlässig- 
keit beeinflusst und welche Auswirkungen sich daraus im Zusammenspiel mit 
anderen Komponenten auf die Zuverlässigkeit des Gesamtsystems ergeben, soll 
über die Berücksichtigung physikalischer Eigenschaften untersucht werden. Zu 
diesem Zweck werden Fahrversuche durchgeführt, aus denen die spezifischen 
Komponentenbelastungen abgeleitet werden können. Die daraus gewonnenen 
Erkenntnisse dienen als Eingangsdaten für die Zuverlässigkeitsbewertung. Die- 
se Methode wird dann auf zwei verschiedene Arten von Versorgungsarchitek- 
turen angewendet: zum einen auf eine klassische Architektur mit nur einer 
12V-Spannungsebene und zum anderen auf eine Architektur, bei der die klas- 
sische 12V-Spannungsebene mit einem Gleichspannungswandler (GSW) an 
eine 48V-Spannungsebene angebunden ist. Auf der Basis der Ergebnisse soll 
abschließend aufgezeigt werden, welche Maßnahmen für die Realisierung ei- 
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ner zuverlässigen Versorgungsarchitektur für hochautomatisierte Assistenzsys- 
teme erforderlich sind. 


1.3 Gliederung der Arbeit 


Um eine Antwort auf die generelle Fragestellung nach der Bewertung der Zu- 
verlässigkeit in der automobilen Vorentwicklung geben zu können, müssen zu- 
nächst mehrere untergeordnete Fragestellungen beantwortet werden. Dement- 
sprechend ist die vorliegende Arbeit in die folgenden Kapitel untergliedert: 


e Zu Beginn werden in Kapitel 2 die rechtlichen Rahmenbedingungen 
und Zulassungsvoraussetzungen für Personenkraftwagen vorgestellt und 
diskutiert. Anschließend folgt die Beschreibung der normativen Basis 
zur Bewertung der Zuverlässigkeit technischer Systeme in der allgemei- 
nen technischen Entwicklung von Systemen. Darauffolgend werden die 
allgemeinen Grundlagen der Zuverlässigkeitstheorie sowie die wesent- 
lichen Standards zur Bewertung von Ausfallraten vorgestellt. 


In Kapitel 3 werden aus der Serienentwicklung bekannte Methoden 
zur quantitativen Bewertung der Zuverlässigkeit diskutiert. Auf dieser 
Grundlage wird dann eine Methode zur Bewertung der Zuverlässigkeit 
in der Vorentwicklung abgeleitet. Hierzu wird die grundlegende Me- 
thode zur Berechnung der Zuverlässigkeit vorgestellt und es wird auf 
bekannte Probleme eingegangen. Zusätzlich wird die Vorentwicklung 
von der Serienentwicklung abgegrenzt. Das Kapitel schließt mit der 
Vorstellung und Beschreibung der in der vorliegenden Arbeit entwi- 
ckelten Berechnungsmethode zur Bewertung der Zuverlässigkeit in der 
Vorentwicklung. 


In Kapitel 4 werden zunächst die wesentlichen Architekturen und Span- 
nungsebenen der elektrischen Energieversorgung vorgestellt. Anschlie- 
Bend folgt die Beschreibung der Verbraucher und deren Wechselwirkun- 
gen untereinander in Abhängigkeit vom Energie- und Leistungsmana- 
gement. Darauffolgend werden die wesentlichen Anforderungen an die 
elektrische Energieversorgung in hochautomatisierten bzw. autonomen 
Assistenzsystemen diskutiert. Zum Ende des Kapitels werden mögliche 
Fehlerquellen in der elektrischen Energieversorgung analysiert. Auf der 
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Grundlage der hierbei gewonnenen Erkenntnisse wird anschließend eine 
Risikobewertung durchgeführt. Das Kapitel schließt mit einer Zusam- 
menfassung der Anforderungen an die Energieversorgung. 


In Kapitel 5 werden zunächst verschiedene Fahrprofile definiert, um das 
jeweilige Kundenverhalten abbilden zu können. Die aus der Analyse die- 
ser Fahrprofile gewonnenen Belastungsdaten werden vorgestellt und aus- 
gewertet. Anschließend wird ein Zuverlässigkeitsmodell für Blei-Säure- 
Batterien vorgestellt, das im Rahmen von eigenen Untersuchungen [110] 
erarbeitet wurde, die im Vorfeld der Erstellung der vorliegenden Dis- 
sertation durchgeführt wurden. Das Modell wurde auf der Grundlage 
der Auswertungen von Felddaten für 436.357 fehlerhafte Blei-Säure- 
Batterien erstellt. Auf die Vorstellung dieses Modells für Blei-Säure- 
Batterien folgt die Beschreibung der Zuverlässigkeitsmodelle für wei- 
tere zentrale Komponenten der elektrischen Energieversorgung. Hierzu 
werden Komponentenmodelle eines 12V-Generators, eines 12V/48V- 
Gleichspannungswandlers und der Vernetzung der elektrischen Ener- 
gieversorgung entwickelt. Im Rahmen dieser Arbeit wurden als Element 
der Vernetzung exemplarisch automobile Schmelzsicherungen berück- 
sichtigt. Dabei werden nicht nur die einzelnen Komponenten selbst vor- 
gestellt und diskutiert, sondern jeweils auch die für ihre Konstruktion 
verwendeten Technologien, ihre Funktionen, spezifische Alterungs- und 
Ausfallmechanismen sowie die Auswirkungen von Fehlern in diesen 
Komponenten auf die elektrische Energieversorgung im Ganzen. Für 
Komponenten mit komplexer Fehlerstruktur werden zusätzlich Teilfeh- 
lerbäume eingeführt. Mit Blick auf die zu untersuchenden Komponenten 
werden daraufhin entsprechende Verlustleistungs- und Temperaturmo- 
delle entwickelt. Abschließend werden auf der Basis der in Unterka- 
pitel 2.5 vorgestellten Handbücher für alle Komponenten Modelle zur 
Berechnung der jeweiligen Ausfallraten erstellt. 


In Kapitel 6 wird die in Kapitel 3 vorgestellte Methode mit den in Kapi- 
tel 5 entwickelten Komponentenmodelle angewendet. Berechnet werden 
dabei die Zuverlässigkeit einer klassischen Versorgungsarchitektur so- 
wie die Zuverlässigkeit einer Architektur mit zwei Spannungsebenen. 
Zur Bewertung der Zuverlässigkeit werden zunächst Hauptereignisse 
definiert, bezüglich derer dann jeweils Fehlerbäume mit den zugehöri- 
gen Basisereignissen aufgebaut werden. Zusätzlich erfolgen eine Aus- 


1.3 Gliederung der Arbeit 


wertung der Berechnungen der Wahrscheinlichkeiten für das Eintreten 
der Hauptereignisse sowie eine Diskussion möglicher Verfahren zur Er- 
höhung der Zuverlässigkeit. Auf dieser Basis können Zielarchitekturen 
für die Versorgung sicherheitskritischer bzw. hochautomatisierter Assis- 
tenzsysteme abgeleitet werden. 


2 Grundlagen 


In diesem Kapitel werden zunächst die rechtlichen Rahmenbedingungen und 
Zulassungsvoraussetzungen für Personenkraftwagen vorgestellt. Darauf folgt 
die allgemeine Beschreibung der Bewertungsprozesse und -maßstäbe für die 
Zuverlässigkeit technischer Systeme. Anschließend werden die Grundlagen 
der Zuverlässigkeitstheorie vorgestellt und diskutiert. Das Kapitel schließt mit 
der Beschreibung wesentlicher Handbücher zur Berechnung der Ausfallwahr- 
scheinlichkeiten technischer Komponenten. 


2.1 Rechtliche Rahmenbedingungen 


Im Allgemeinen sind die Herstellung von Produkten sowie die Sicherstellung 
von deren Sicherheit rechtlich über das Produktsicherheits- und das Produkt- 
haftungsgesetz geregelt [33] und [31]. Aufgrund dieser beiden Gesetze ist 
jeder Hersteller eines Produktes für dessen Produktsicherheit verantwortlich 
und unterliegt der Gefährdungshaftung. Daher gilt, dass unabhängig vom Ver- 
schulden derjenige haftet, der eine Gefährdungsquelle schafft. Im Falle eines 
Produktfehlers und der sich daraus ergebenden Folgen schreibt das Produkt- 
haftungsgesetz in $ 1 Absatz 1 Folgendes vor: 

„Wird durch den Fehler eines Produkts jemand getötet, sein Körper oder sei- 
ne Gesundheit verletzt oder eine Sache beschädigt, so ist der Hersteller des 
Produkts verpflichtet, dem Geschädigten den daraus entstehenden Schaden zu 
ersetzen. Im Falle der Sachbeschädigung gilt dies nur, wenn eine andere Sache 
als das fehlerhafte Produkt beschädigt wird und diese andere Sache ihrer Art 
nach gewöhnlich für den privaten Ge- oder Verbrauch bestimmt und hierzu 
von dem Geschädigten hauptsächlich verwendet worden ist.“ 

In § 823 des Bürgerlichen Gesetzbuchs [32] findet sich mit der Schadenser- 
satzpflicht eine weitere Regelung, die in diesem Kontext relevant ist. Nach [93] 
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können dabei drei unterschiedliche Fehlerarten voneinander unterschieden wer- 
den: 


e der Konstruktionsfehler, 
e der Fabrikationsfehler und 


e der Instruktionsfehler. 


Diese Fehlerarten sind nicht immer eindeutig voneinander abgrenzbar. So ist 
bspw. bei Ausfallen von Komponenten im Feld oft nicht klar, ob diese aus Feh- 
lern in der Konstruktion oder aus minimalen Maßabweichungen beim Einbau 
resultieren. In einigen Fallen kann diese Frage aufgrund mangelnder Informa- 
tionen nicht entschieden werden, in anderen Fällen sind die Ausfälle Fehlern 
beider Arten zuzuordnen. Dementsprechend hängt auch die juristische An- 
wendung dieser Begrifflichkeiten immer von den Umständen des jeweiligen 
Einzelfalls ab. Dennoch lassen sich die folgenden generellen Aussagen tref- 
fen: Der Konstruktionsfehler betrifft den Verstoß gegen geltende technische 
Erkenntnisse bei der Herstellung. Dies hat zur Folge, dass der Fehler jedem 
hergestellten Produkt anhaftet. Im Hinblick auf die Haftung für Konstrukti- 
onsfehler ist Folgendes zu sagen: Der Hersteller eines Produkts — im Falle 
der Fahrzeugindustrie sind dies die Zulieferer und die jeweiligen Fahrzeugher- 
steller selbst — ist dazu verpflichtet, in der Planung und Konstruktion nach 
dem Stand von Wissenschaft und Technik vorzugehen, um den Verbraucher vor 
Schäden infolge von Mängeln zu bewahren. Dabei ist nach [96] die Drei-Stufen- 
Theorie zu beachten, der zufolge bezüglich der Entwicklung und Herstellung 
eines Produkts nach rechtlicher Auffassung zwischen drei Abstufungen zu 
unterscheiden ist: 


e den allgemein anerkannten Regeln der Technik, 
e dem Stand der Technik sowie 


e dem Stand von Wissenschaft und Technik. 


Die allgemein anerkannten Regeln der Technik beschreiben Regeln und Tech- 
niken, die bereits in der Praxis angewendet werden und hinreichend erprobt 
sind. Die Steigerung dieser Stufe ist die Entwicklung und Herstellung nach 
dem Stand der Technik. Hierbei sind zusätzlich auch aktuell noch nicht ange- 
wendete Regeln und Techniken zu berücksichtigen. Die höchste Stufe stellt die 
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Entwicklung und Herstellung nach dem Stand von Wissenschaft und Technik 
dar. Hier sind alle vorhandenen Erkenntnisse zu berücksichtigen, auch solche, 
die bisher nur rein wissenschaftlich bekannt sind. 

Im Gegensatz zum Konstruktionsfehler, der jedes hergestellte Produkt betrifft, 
ist der Fabrikationsfehler auf wenige bzw. einzelne Produkte beschränkt. Er 
tritt durch Fehler in der Herstellung wie bspw. die einmalige Fehlfunktion 
einer Maschine auf. Im Hinblick auf Fabrikationsfehler ist zu sagen, dass der 
Produzent durch eine entsprechende Organisation und Kontrolle die Fehlerfrei- 
heit jedes einzelnen Produkts gewährleisten muss. Können Fabrikationsfehler 
selbst durch größtmögliche Sorgfalt nicht restlos ausgeschlossen werden, muss 
das dadurch entstehende Risiko durch geeignete Qualitätskontrollen und Ein- 
zeltests kompensiert werden. Lediglich bei Ausreißern, deren Auftreten sogar 
dann nicht verhindert werden kann, wenn alle zumutbaren Sicherheitsvorkeh- 
rungen getroffen wurden, haftet der Hersteller nicht. 

Ein Instruktionsfehler liegt vor, wenn der Hersteller den Verbraucher nicht 
durch eine verständliche Bedienungsanleitung vor produktspezifischen Gefah- 
ren gewarnt hat, wobei im Falle eines Personenkraftwagens die Verwendung 
in der allgemeinen Zweckbestimmung liegen muss. 

Neben der Frage, welche der vorgestellten Fehlerarten einen Ausfall und damit 
ggf. rechtlich relevante Sach- oder Personenschäden verursacht hat, ist für die 
Produkthaftung des Weiteren von Interesse, wie die Beweislast verteilt ist. Hier- 
bei liegt nach [93] für Konstruktions-, Fabrikations- und Instruktionsfehler die 
Beweispflicht beim Hersteller, da dieser seiner Sorgfaltspflicht nachkommen 
muss. 


2.2 Zulassungsvoraussetzungen 


Jedes neu entwickelte Kraftfahrzeug unterliegt den oben genannten allgemei- 
nen gesetzlichen Anforderungen an technische Produkte. Zusätzlich muss es 
vom Gesetzgeber aber außerdem zur Teilnahme am Straßenverkehr zugelas- 
sen werden. Zu diesem Zweck muss der Fahrzeughersteller (OEM) eine sog. 
Typgenehmigung durchführen. Hierbei wird durch eine vom Gesetzgeber aner- 
kannte Prüfeinrichtung exemplarisch ein einzelnes Modell abgenommen, um 
die entsprechende Modellreihe zulassen zu können. 

Die rechtlichen Regelungen bzw. Zulassungsvoraussetzungen für den Erhalt 
einer Typgenehmigung finden sich in $21 der Straßenverkehrs-Zulassungs- 
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Ordnung (StVZO) [30] sowie in der EG-Fahrzeuggenehmigungsverordnung 
(EG-FGV) [29]. Des Weiteren sind zur Erlangung einer Betriebserlaubnis die 
in der Richtlinie 2007/46/EG [45] festgelegten Anforderungen zu erfiillen. 
Hierbei werden an die einzelnen Systeme erweiterte Anforderungen in Form 
der UN/ECE-Regelungen gestellt. Derzeit existieren in der ECE-Homologation 
163 Regelungen. 

Entscheidend fiir die Erteilung einer Zulassung und einer Betriebserlaubnis 
ist die Gewährleistung der Fahrzeugsicherheit. Hierfür sind vor allem jene 
technischen Systeme ausschlaggebend, welche die Längs- und Querdynamik 
beeinflussen. Die entsprechenden ECE-Regelungen sind die Regelungen 


e Nr. 13 für die Bremsanlage für Fahrzeuge mit Anhänger [43], 

e Nr. 13-H für Bremsen von Fahrzeugen der Klassen MI und N1 [44], 
e Nr. 79 für die Lenkanlage [46] und 

e Nr. 131 für Notbremsassistenzsysteme (AEBS) [47]. 


Neben den Anforderungen an das eigentliche System beinhalten alle diese Re- 
gelungen auch Anforderungen an die elektrische Energieversorgung. Nach [46] 
5.1.9 gilt für die elektrischen Energieversorgungseinrichtung Folgendes: 

„Für die Lenkanlage und andere Anlagen darf dieselbe elektrische Energiever- 
sorgungseinrichtung verwendet werden. Bei einer Störung in einer Anlage, die 
an dieselbe elektrische Energieversorgungseinrichtung angeschlossen ist, muss 
die Lenkung nach den in Absatz 5.3 genannten entsprechenden Vorschriften 
für eine solche Störung sichergestellt werden.“ 

Die hier festgelegten Kriterien beziehen sich auf die Restenergie bzw. auf die 
noch verfügbare Leistung, anhand derer garantiert sein muss, dass die Len- 
kung ab dem Moment des Eintritts eines Fehlers bis zum sicheren Stillstand 
des Fahrzeugs weiterhin funktioniert. Hierbei dürfen bestimmte Szenarien wie 
z. B. eine Fehlfunktion in Form eines falschen Lenkwinkels nicht auftreten. 
In den ECE-Regelungen werden vom Gesetzgeber alle Anforderungen an die 
Entwicklung von Personenkraftwagen genannt. Die elektrische Energieversor- 
gung wird dabei zwar in mehreren Regelungen erwähnt, aufgrund der Entwick- 
lungskomplexität jedoch nicht in einer eigenen ECE-Regelung abgebildet. Aus 
den Anforderungen, die in den Regelungen für die verschiedenen Fahrzeugsys- 
teme genannt werden, ergeben sich allerdings mehrere Rahmenanforderungen 


2.3 Zuverlässigkeit technischer Systeme 


an die elektrische Energieversorgung von Personenkraftwagen. Diese werden 
in Kapitel 4 diskutiert. 


2.3 Zuverlässigkeit technischer Systeme 


Jedes technische System — unabhängig davon, ob es sich um ein mechanisches 
oder elektronisches System handelt — besitzt eine endliche Lebensdauer und 
somit auch eine begrenzte Zuverlässigkeit. Das Eintreten eines Fehlers führt 
das System aus dem Zustand der Zuverlässigkeit in den Zustand der Unzu- 
verlässigkeit. Der Begriff der Zuverlässigkeit beschreibt dabei die Fähigkeit 
eines technischen Systems, die für dieses System spezifische(n) Funktion(en) 
in einem bestimmten Zeitintervall fehlerfrei auszuführen. Der Begriff der Ver- 
fügbarkeit beschreibt den Kehrwert der Funktionseinschränkung und muss für 
jedes System bzw. für jedes Teilsystem einzeln bewertet werden. 

Bezüglich der verschiedenen Arten von Fehlern, zu denen es kommen kann, 
wird zwischen sicheren und gefährlichen sowie zwischen entdeckbaren und 
nicht entdeckbaren Fehlern unterschieden [23]. Sichere Fehler sind solche, die 
— unabhängig davon, ob sie entdeckbar oder nicht entdeckbar sind — keinen 
direkten Einfluss auf sicherheitskritische Funktionalitäten des Gesamtsystems 
haben und somit nicht zu einem unsicheren Systemzustand führen. Gefährliche 
Fehler hingegen führen zu einem unsicheren und in diesem Sinne gefährli- 
chen Zustand des Gesamtsystems. Hierbei ist weiter zwischen entdeckbaren 
und nicht entdeckbaren gefährlichen Fehlern zu unterscheiden: Im Fall von 
entdeckbaren gefährlichen Fehlern kann das Gesamtsystem durch geeignete 
Gegenmaßnahmen von einem gefährlichen in einen sicheren Systemzustand 
überführt werden. Genau dies ist bei nicht entdeckbaren gefährlichen Fehlern 
nicht der Fall. Hier wird mit Eintreten des Fehlers ein gefährlicher Zustand 
erreicht. 

Sichere Fehler führen zwar immer zur Reduktion der Verfügbarkeit, jedoch 
nicht notwendigerweise in einen unsicheren, gefährlichen Zustand. Gefährli- 
che Fehler hingegen führen direkt in einen unsicheren Zustand. Ist der Fehler 
durch geeignete Diagnosemaßnahmen entdeckbar, kann das Gesamtsystem in 
einen sicheren Systemzustand rücküberführt werden. Andernfalls befindet sich 
das System in einem unsicheren, gefährlichen Zustand. Dieser Zustand ist für 
sicherheitskritische Systeme nicht akzeptabel. In Abbildung 2.1 findet sich 
eine übersichtliche Darstellung der hier beschriebenen Fehlerklassifizierun- 
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gen sowie eine Einordnung der verschiedenen Systemzustände im Sinne von 
Zuverlässigkeit und Verfügbarkeit. 


Auftreten 
eines 
Fehlers 


Unzuverlässigkeit 


Erfüllung Nicht-Erfüllung 
der vorgesehenen Funktion, der vorgesehenen Funktion, 
während der das System aktiv ist während der das System aktiv ist 


Zuverlässigkeit 


gefährlich 


sicher 


Verfügbarkeit 


entdeckbar nicht entdeckbar 


entdeckbar nicht entdeckbar 


sicherer Zustand unsicherer Zustand 


wenn entdeckbar 
Gegenmaßnahme 
Abbildung 2.1: Übersicht der Fehlerklassifizierungen und der Einordnung im Sinne von Zuverläs- 
sigkeit und Verfügbarkeit 


2.3.1 Fehlerklassifizierung 


Bei der Frage nach der Zuverlässigkeit von Komponenten bzw. ganzen Sys- 
temen wie der elektrischen Energieversorgung ist von besonderem Interesse, 
welche Auswirkungen mögliche Fehler in diesen Komponenten bzw. Sys- 
temen auf deren Zuverlässigkeit haben. Um diese Auswirkungen möglichst 
exakt spezifizieren zu können, bedarf es eines detaillierten Fehlerverständnis- 
ses. Zu diesem Zweck lassen sich mögliche Fehler auf der Grundlage von [17] 
hinsichtlich der folgenden Merkmale kategorisieren: 


e Fehlerart, 
e Fehlerursache, 


e Fehlermechanismus und 
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e Fehlerfolge. 


Die Fehlerart beschreibt die Ausprägung eines Fehlers. Zum Beispiel können 
bei elektronischen Bauelementen die Fehlerarten „offen“, „kurzgeschlossen“ 
und „Parameterdrift‘‘ beobachtet werden. 

Die Fehlerursache kann innerhalb oder außerhalb der jeweiligen Komponen- 
te liegen. Im ersten Fall spricht man von einer intrinsischen Fehlerursache. 
Als Beispiele hierfür können Materialschwächung oder Materialermüdung 
genannt werden. Auch wenn die Auswirkungen intrinsischer Fehlerursachen 
nicht zwangsläufig unmittelbar eintreten, liegen intrinsische Fehler immer be- 
reits zu Beginn der Komponentenlebensdauer vor. Daher kann diesbezüglich 
auch von systematischen bzw. frühen Fehlern und dadurch bedingten Ausfällen 
gesprochen werden. Um extrinsische Fehlerursachen handelt es sich hingegen, 
wenn bspw. während der Entwicklung Fehler gemacht werden oder wenn es zu 
falscher Handhabung in der Produktion bzw. zu Missbrauch in der Anwendung 
kommt. 

Der Fehlermechanismus ist der physikalische bzw. chemische Mechanismus, 
der zu einem Fehler in der Komponente führt. Beispiele hierfür sind Korrosion 
oder Elektromigration. 

Die Fehlerfolge beschreibt die Auswirkung eines Komponentenfehlers. Wich- 
tig ist hierbei, zu beachten, dass sich die Auswirkungen nur durch eine Betrach- 
tung des Gesamtsystems ermitteln lassen. Dasselbe gilt für direkte Aussagen 
wie z. B., dass die Fehlerart „kurzgeschlossen“ in einen kritischen System- 
zustand führt. Solche Aussagen sind nur durch eine Betrachtung des Gesamt- 
systems möglich. Der Begriff der Fehlerfolge lässt sich nach [17] weiter un- 
terteilen in nicht relevanter, partieller, vollständiger und kritischer Fehler. Der 
Vollständigkeit halber sei hier darauf hingewiesen, dass es grundsätzlich auch 
möglich wäre, zwischen primären und sekundären Fehlern zu unterscheiden. 
Eine weitere Möglichkeit zur Fehlereinteilung, in diesem Fall in Bezug auf 
die Detektierung, liefert [22]. Beiden Möglichkeiten zur Kategorisierung von 
Fehlern wird in dieser Arbeit jedoch nicht nachgegangen, da die oben erläuterte 
Weise der Kategorisierung für die hier verfolgten Zwecke nützlicher ist. 


2.3.2 Fehlerursachen 


Im Allgemeinen kann das Auftreten eines Fehlers durch die Beseitigung seiner 
Ursachen verhindert werden. Daher ist es wichtig, die verschiedenen Arten von 
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Fehlerursachen näher zu betrachten. 

Wie in Abbildung 2.2 dargestellt, kann zwischen systematischen und zufälligen 
Fehlerursachen sowie zwischen Handhabungs-, Bedien- und Wartungsfehlern 
unterschieden werden. 


Í Fehler ) 
Handhabungs-, 


Systematische ; zufällige 
Fehler T A Fehler 
artungsfehler \ 
Abhängige Unabhängige i si Abhängige Unabhängige 
Fehler Fehler aktiv Peron Fehler Fehler 


nicht 
entdeckbar 


nicht 


enideckbar entdeckbar 


entdeckbar 


Abbildung 2.2: Fehlerklassifizierung nach [1] und [24] 


Systematische Fehler 


Systematische Fehler treten infolge ungeeigneter Entwicklungs- oder Herstel- 
lungsprozesse auf. In der Regel sind sie auf unentdeckte Falschauslegungen, 
auf Fehler in der Herstellung oder auf unzureichende Testverfahren zuriick- 
zufiihren. Ihr Auftreten wird durch unzureichend lange Entwicklungs- bzw. 
unzureichend lange Testzeiten begiinstigt. Systematische Fehler konnen unab- 
hängig von der jeweiligen Industrie und unabhängig vom Zielmarkt in jedem 
technischen Produkt auftreten. 

Auf dem Markt können regelmäßig Produkte mit systematischen Fehlerursa- 
chen beobachtet werden. Ein bekanntes Beispiel aus der Telekommunikations- 
industrie ist das Mobiltelefon Samsung Galaxy Note 7 aus dem Jahr 2017, 
bei dem es häufig zu Überhitzungen der Energiespeicher und infolgedessen 
zu Bränden kam. Samsung musste das Mobiltelefon aufgrund des fehlerhaften 
Energiespeichers zurückrufen. In diesem Fall lag der systematische Fehler in 
einem zu kleinen Gehäuse und einem dadurch bedingten kritischen Aufbau 
der Lithium-Ionen-Batterie [97], [175], [161]. Samsung selbst gibt an, dass 
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der Fehler aufgrund unzureichender Testläufe unentdeckt blieb [72]. 

Ein weiteres Beispiel für systematische Fehler stammt aus der Luft- und Raum- 
fahrtindustrie. Es handelt sich um die von dem Unternehmen Boeing eingesetz- 
ten Lithium-Ionen-Batterien, die im Flugzeugmodell 787 Dreamliner verbaut 
wurden. In mehreren Fällen — sowohl am Boden als auch in der Luft — kam 
es zu Systemausfällen, die aufgrund eines Fehlers im Energiespeicher bzw. 
in dessen Elektronik (z. B. Batterie-Management-System (BMS)) teilweise zu 
Bränden führten. Der Fehler konnte durch eine Überarbeitung des Energie- 
speichers behoben werden [177]. 

Systematische Fehler können über den gesamten Produktlebenszyklus hinweg 
auftreten. Je nach Art und Ausprägung der Belastungsfaktoren zeigen sich 
manche systematischen Fehler erst nach mehreren Jahren Produktlebenszeit. 
Ein interessantes Beispiel hierfür ist ein von dem Unternehmen Takata (Auto- 
motive) hergestellter Fahrzeugairbag. In Regionen mit hoher Luftfeuchtigkeit 
und hohen Temperaturen fiel der Airbag aufgrund von Korrosion der Airbag- 
Komponenten teilweise aus. In anderen Fällen kam es zwar zu einer Auslösung 
des Airbags, doch das Gas zum Entfalten des Airbags entzündete sich, wodurch 
es zu einer Explosion kam, infolge derer Metallsplitter mit hoher Geschwindig- 
keit in Richtung des Fahrzeuginnenraums geschleudert wurden. Durch diese 
systematischen Fehler kam es zu mehreren Todesfällen und das Unternehmen 
Takata sah sich mit sehr hohen Folgekosten durch Rückrufaktionen und Scha- 
densersatzansprüchen konfrontiert [156]. 

Anhand dieser Beispiele soll gezeigt werden, dass systematische Fehler in 
technischen Produkten aller Art auftreten können und dass die Folgen ein 
sehr hohes Gefährdungspotential aufweisen können. Problematisch ist, dass 
systematische Fehler sich nur bedingt mathematisch modellieren und dement- 
sprechend nur in eingeschränktem Maß vorhersagen lassen. Aus diesem Grund 
muss die Vermeidung von systematischen Fehlern bereits im Entwicklungs- 
prozess mit geeigneten Prozessen und Maßnahmen sichergestellt werden. Um 
die Wahrscheinlichkeit des Auftretens von systematischen Fehlern weiter zu 
verringern, besteht darüber hinaus die Möglichkeit der diversitären Redun- 
danz auf Hardware- und Software-Ebene. In der Luft- und Raumfahrt wird 
dieses Prinzip bspw. mit Bezug auf Flugcomputer angewendet, indem zwei 
oder mehr Prozessoren unterschiedlicher Hersteller eingesetzt werden, die sich 
gegenseitig überwachen [117]. 
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Handhabungs-, Bedien- und Wartungsfehler 


Viele technische Produkte erfordern fiir ihre Verwendung eine Interaktion 
zwischen Mensch und Maschine (MMS). Hierbei gibt es verschiedene Feh- 
lerszenarien, die durch die falsche Anwendung oder durch die falsche Bedie- 
nung von Maschinen realisiert werden und teilweise mit einer enorm hohen 
Wahrscheinlichkeit für den Eintritt eines gefährlichen Zustands einhergehen. 
Sie stellen somit ein sehr großes Risiko dar. 

Grundsätzlich sind technische Systeme so ausgelegt, dass die Wahrschein- 
lichkeit für das Begehen von Bedienfehlern bzw. für das Auftreten der ent- 
sprechenden Fehlerursachen durch geeignete Maßnahmen verringert wird. Ein 
möglicher Ansatz hierfür ist z. B. das sog. Poka-Yoke-Prinzip, das sowohl in 
der Produktions- als auch in der Schnittstellentechnik Anwendung findet. Beim 
Poka-Yoke-Prinzip wird versucht, das Auftreten häufiger vermeidbarer Fehler 
zu verhindern. Ein Beispiel hierfür ist, dass Steckverbindungen verpolungs- 
sicher oder punktsymmetrisch ausgelegt werden, wodurch eine fehlerhafte 
Verbindung durch falsches Einstecken verhindert wird. 

Trotz verschiedener Maßnahmen zur Vorbeugung und Verhinderung von 
Handhabungs-, Bedien- und Wartungsfehlern lassen sich diese nicht voll- 
ständig beseitigen. Vor allem im Umfeld komplexer Anforderungen und hoher 
Reaktionsgeschwindigkeiten treten menschliche Fehler verstärkt auf. So wur- 
den bspw. im Straßenverkehr im Jahr 2017 in Deutschland 302.656 Unfälle 
mit Personenschäden dokumentiert. Dabei waren 88 Prozent aller erfassten 
Unfallursachen auf menschliches Versagen zurückzuführen [160]. 

Die Bewertung der Rolle, die menschliches Versagen bei Unfällen spielt, stellt 
insofern eine Schwierigkeit dar, als dass sich Fehler dieser Art zwar qualita- 
tiv beschreiben, jedoch nur bedingt quantitativ erfassen lassen. Quantitative 
Analysen müssen auf der Basis von Nutzerstudien durchgeführt werden, da 
das Phänomen „menschliches Versagen“ eine statistische Komponente hat 
und nur durch umfangreiche Studien adäquat erfasst werden kann. Nur auf 
der Basis quantitativer Analysen lassen sich qualifizierte Aussagen über die 
Grenzen der Interaktionsfähigkeit zwischen Mensch und Maschine treffen 
und technische Systeme so auslegen, dass mögliche Fehler durch die Schnitt- 
stelle zwischen Mensch und Maschine verringert bzw. vermieden werden 
können. Für das Steer-by-Wire-System in Kraftfahrzeugen hat Theis in [159] 
die menschliche Zuverlässigkeit untersucht. Hierfür wurden Erkenntnisse über 
die menschliche Zuverlässigkeit bei kognitiven Beanspruchungen aus dem 
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Kontext von Ereignissen in Kernkraftwerken genutzt. Diese wurden auf die 
Fahrer-Fahrzeug-Schnittstelle übertragen, um Vorhersagen über die Verhal- 
tensweisen von Fahrern im Systemfehlerfall zu ermöglichen. 

Nach [131] können die unterschiedlichen Belastungsfaktoren, die im Kontext 
der MMS zu Fehlern führen, anhand von dreizehn Kategorien klassifiziert 
werden. Die einzelnen Faktoren können anhand verschiedener Methoden un- 
terschiedlich gut abgebildet werden. Für die Zwecke der vorliegenden Arbeit 
ist es nicht erforderlich, alle Kategorien im Detail zu erörtern.! Es genügt zu 
konstatieren, dass Fehler in der MMS im Wesentlichen durch eine zu hohe 
Komplexität, durch zu kurze Reaktionszeiten und durch vorhandene Unsicher- 
heiten begünstigt werden. 


Zufällige Fehler 


Wie im vorigen Unterkapitel erläutert wurde, kann die Wahrscheinlichkeit für 
das Auftreten von systematischen Fehlern sowie von Handhabungs-, Bedien- 
und Wartungsfehlern durch den Einsatz geeigneter Prozesse und Maßnahmen 
vermindert bzw. gänzlich auf null reduziert werden. Das Auftreten von zufäl- 
ligen Fehlern hingegen kann in technischen Systemen nie vollständig ausge- 
schlossen werden. Alle Komponenten besitzen das Potential für das Auftreten 
zufälliger Fehler, wobei bei Komponenten geringerer Qualität häufig eine Zu- 
nahme zufälliger Fehler beobachtet werden kann [41]. 

Wie oben erläutert, ist der Begriff „zufällig“ in diesem Zusammenhang nicht 
buchstäblich zu verstehen. Auch zufällige Fehler haben immer eine Ursache. 
Diese liegen entweder in statistischen Abweichungen in den Materialeigen- 
schaften der jeweiligen Komponenten, in den Umständen des Herstellungspro- 
zesses oder in den Betriebsbedingungen, unter denen die fraglichen Kompo- 
nenten zum Einsatz kommen. Dass zufällige Fehler nicht buchstäblich zufällig 
sind, sondern immer eine Ursache haben, heißt allerdings nicht, dass diese 
Ursachen immer bekannt wären oder dass es immer möglich oder gar leicht 
wäre, sie zu bestimmen. Im Gegenteil: Der Nachweis von Fehlerursachen ist 
meist nicht trivial, da Fehler oft von einer Vielzahl von Ursachen abhängen. 
Um dieser Problematik zu begegnen, greift man auf Modelle zurück, wobei 
die Modellierung zufälliger Fehler auf der Basis empirischer Versuche bzw. 


! Eine gute Zusammenfassung der eingesetzten Methoden bietet [26]. 
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anhand der Auswertung von Felddaten erfolgt. 

Im Allgemeinen können Fehler bei der Erstellung von Modellen als Zufalls- 
variablen aufgefasst werden. Zufällige Fehler stellen dabei Basisereignisse w 
und somit eine Teilmenge des Merkmalraums Q dar. Es gilt w € Q. 

Treten in Komponenten Fehler auf, die nicht auf äußere Ursachen zurückführ- 
bar sind, wird davon ausgegangen, dass es sich um zufällige Fehler handelt. 
Diese werden mit stochastischen Modellen erfasst und es wird eine Fehlerrate 
berechnet. Die Fehlerrate wird dabei in der Einheit Failure In Time (FIT) an- 
gegeben, wobei ein FIT die Größe 1 - 10-°h7! besitzt. 

Zufällige Fehler sind für die quantitative Beschreibung der Zuverlässigkeit 
technischer Systeme erforderlich und für eine Vielzahl von elektronischen 
Standardbauelementen in Form von Modellen vorhanden. Anhand dieser Mo- 
delle kann untersucht und berechnet werden, wie das Auftreten zufälliger Feh- 
ler von Einflussfaktoren wie dem Herstellungsprozess oder der thermischen 
Zyklisierung abhängt. Die wesentlichen Handbücher und Ausfallmodelle zu 
dieser Thematik werden in Unterkapitel 2.5 diskutiert. 


Einfachfehler und Fehler gemeinsamer Ursache 


Grundsätzlich wird in den Betrachtungen der vorliegenden Arbeit angenom- 
men, dass alle Ausfälle, die in einem System auftreten oder auftreten können, 
voneinander unabhängig sind. Damit ist gemeint, dass der Ausfall einer Kom- 
ponente keinen funktionalen oder physikalischen Einfluss auf andere Kompo- 
nenten hat. Diese Annahme trifft jedoch nicht auf jedes Ausfallereignis zu. Es 
ist möglich, dass durch einen Einfachfehler mehrere Komponenten ausfallen 
oder weitere Fehler hervorgerufen werden. In diesen Fällen spricht man von 
abhängigen Fehlern. Im Allgemeinen wird bezüglich der Kategorie der abhän- 
gigen Fehler (Dependent Failure (DF)) zwischen drei Arten unterschieden: 


e dem mehrfachen Versagen aufgrund einer gemeinsamen Ursache Common 
Cause Failure (CCF), 


e dem Ausfall mehrerer gleichartiger Komponenten mit dem gleichen Feh- 
lerbild Common Mode Failure (CMF) und 


e Ausfällen, die aufgrund einer gemeinsamen Ursache nacheinander auf- 
treten, was auch als Dominoeffekt bezeichnet wird Causal or Cascade 
Failure (CF). 
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Fehler gemeinsamer Ursache CCF kommen in allen technischen Systemen 
vor. Im Kontext von Personenkraftwagen geht das Risiko diesbeziiglich vor al- 
lem von der elektrischen Energieversorgung aus, da Fehler in diesem Bereich 
ein besonders hohes Potential dafiir haben, eine Vielzahl von Folgefehlern zu 
verursachen. Dies ist bspw. dann zu beobachten, wenn in einem Personen- 
kraftwagen die Spannungslage der elektrischen Energieversorgung einbricht 
bzw. durch einen Fehler nicht mehr stabil gehalten werden kann. In der Folge 
eines solchen Fehlers kann es zu einer Vielzahl von Folgefehlern in unter- 
schiedlichen Steuergeräten kommen, wenn diese aufgrund des Energieabfalls 
ihre vorgesehene Funktionalität nicht länger erfüllen können. Beispielsweise 
kann es dazu kommen, dass infolge der mangelhaften elektrischen Energie- 
versorgung falsche Sensorwerte ermittelt bzw. gelesen werden oder dass die 
Kommunikation fehlerhaft ist, da die Spannungspegel in den diversen Netzwer- 
ken (LIN, CAN, FR, MOST, Automotive Ethernet etc.) nicht aufrechterhalten 
werden können. 

Neben diesen Fehlern gemeinsamer Ursache (CCF) existiert eine Vielzahl von 
Fehlerursachen, die in der Folge mindestens einen weiteren Fehler verursa- 
chen, der zeitgleich bzw. nahezu zeitgleich eintritt. Ein solches gemeinsames 
Fehlerbild (CMF) liegt bspw. dann vor, wenn eine Komponente infolge zu 
hoher Temperaturen ausfällt und umliegende Komponenten wie z. B. SMD- 
Elektrolyt-Kondensatoren, die als Eingangsfilter eines Gleichspannungswand- 
lers fungieren, ebenfalls aufgrund von Uberhitzung ausfallen. In diesem Fall 
sind sowohl die Fehlerursachen (CCF) als auch die Fehlerbilder (CMF) der 
ausgefallenen Komponenten miteinander identisch. 

Kaskadierende Fehler (CF) bzw. Ausfalle sind mit dem Dominoeffekt ver- 
gleichbar, bei dem eine Ursache eine Kette an Ereignissen auslöst. Ein Bei- 
spiel hierfiir ist der Ausfall eines Netzwerkknotens. Der Ausfall dieses Knotens 
kann zur Mehrbelastung anderer Knoten fiihren und damit deren Ausfallwahr- 
scheinlichkeit deutlich erhöhen. Fällt ein weiterer Knoten aus, sind die noch 
verbliebenen Knoten wiederum einer deutlich höheren Belastung ausgesetzt 
und die Wahrscheinlichkeit eines Ausfalls der noch funktionierenden Knoten 
erhöht sich abermals. Letztendlich kann infolge eines solchen kaskadierenden 
Fehlers das gesamte Netzwerk ausfallen. 
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Fehlerentdeckung und Diagnose 


Alle Komponenten besitzen das Potential fiir Fehler und somit fiir das Nicht- 
erfüllen ihrer vorgesehenen Funktionalität. Dabei sind sowohl die korrekte als 
auch die fehlerhafte Funktionsausführung über Messgrößen diagnostizierbar. 
Zu diesem Zweck wird zunächst die gemessene Größe aufgenommen, anschlie- 
Bend analysiert und schließlich wird ein Folgeereignis ausgelöst (bspw. wird 
eine Warnmeldung ausgegeben oder eine kalte Redundanz zugeschaltet). Je 
nachdem, ob der Fehler entdeckbar oder nicht entdeckbar bzw. gefährlich oder 
nicht gefährlich ist, ist das Vorhandensein einer solchen Diagnose vorteilhaft 
bzw. notwendig. Der Fehlerzustand kann dabei 


e direkt, 
e indirekt oder 


e modellbasiert diagnostiziert werden. 


Bei direkten Diagnoseverfahren wird auf der Basis einer direkt zu messenden 
physikalischen Größe auf den Zustand einer Komponente bzw. des Gesamtsys- 
tems geschlossen. Aus dem Messergebnis können dann weitere Schlussfolge- 
rungen abgeleitet werden. Ein Beispiel hierfür ist das Messen einer Spannung 
bei festgelegten Grenzwerten. Wird ein Grenzwert überschritten, kann dies 
direkt diagnostiziert werden. 

Bei indirekten Diagnoseverfahren wird anhand mehrerer Systemgrößen der 
aktuelle Zustand des Systems (entweder funktional, fehlerhaft, degradiert oder 
ausgefallen) ermittelt. Auf dieser Basis können anschließend auch solche Feh- 
lerereignisse diagnostiziert werden, die nicht direkt messbar sind. Ein Beispiel 
hierfür ist die Kontrolle von Reifendruckveränderungen über Raddrehzahlsen- 
soren. 

Modellbasierte Diagnoseverfahren wurden vor allem zur Unterstützung von 
Reparaturen entwickelt. In [107] wird hierzu eine Methode vorgestellt, die auf 
einem neuronalen Netz basiert. Bei dieser Methode werden bereits bekannte 
Fehlersymptome sowie die damit verknüpften Reparaturen als Eingangsgrö- 
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ßen genutzt, um auf der Basis von Diagnosedaten? auch ohne genaue Sys- 
temkenntnisse mögliche Fehlerursachen und die jeweils passenden Reparatur- 
methoden zu ermitteln. Eine andere Vorgehensweise beschreibt Krieger [88]. 
Er präsentiert ein Echtzeitdiagnosesystem, welches mittels Bayes-Netz und 
Strukturbeschreibungen Fehlerkandidatenlisten generiert. Mittels dieser Feh- 
lerkandidatenlisten können Diagnosen der Fehlerursachen nahezu in Echtzeit 
erfolgen. Ein drittes Verfahren ist die Erkennung von möglichen Fehlern in 
der Entwicklung durch die Kategorisierung von Fehlerspeichereinträgen, um 
auf wahrscheinliche Fehlerursachen schließen zu können. Dieses Verfahren 
wurde in [87] entwickelt und bietet den Vorteil, Fehler bereits während der 
Entwicklung analysieren und beheben zu können. 

Bisher wird die modellbasierte Diagnose in Kraftfahrzeugen aufgrund der da- 
für erforderlichen Ressourcen nicht eingesetzt. Sie bietet jedoch das Potential, 
zukünftig auch bei weiter zunehmender Komplexität ein erhöhtes Maß an Dia- 
gnosefähigkeit zur Verfügung zu stellen. 

Die Diagnosefähigkeit bzw. der Diagnosedeckungsgrad (Diagnostic covera- 
ge (DC)) ist für die Zuverlässigkeit einer technischen Komponente und des 
Gesamtsystems entscheidend. Ausschlaggebend bei der Beurteilung der Zu- 
verlässigkeit einer technischen Komponente bzw. des Gesamtsystems ist die 
Anfälligkeit für gefährliche Fehler. Hierbei wird der gefährliche Fehler definiert 
als 


Ad = Add + Adu- (2.1) 


Dabei sind Aga die entdeckbaren gefährlichen Fehler (detectable dangerous 
failures) und Ag, die nicht entdeckbaren gefährlichen Fehler (undetectable 
dangerous failures). 

Der Diagnosedeckungsgrad (DC) wird haufig in Prozent angegeben. Damit ist 


2 
Dee 100, 2.2) 
Ad 


? Im Automobilsektor sind eine Vielzahl von Diagnosedaten über die On-Board-Diagnose- 
Schnittstelle (OBD) verfügbar. Diese Diagnosedaten sind in der ISO 15031 [69] hersteller- 
übergreifend standardisiert. 
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Der mit Gleichung 2.2 ermittelte Deckungsgrad wird zur Einstufung der ge- 
nutzten Diagnose genutzt. Hierbei richtet sich die Grundfragestellung nach 
dem zulässigen Risiko bzw. dem noch akzeptierbaren Restrisiko. 


2.3.3 Risikobewertung 


Alle technischen Systeme können infolge eines Fehlers die für sie vorgesehene 
Funktionalität verlieren. Sowohl in der Entwicklung und Herstellung als auch 
während der Wartung bzw. Reparatur technischer Systeme besteht jederzeit 
das Risiko, dass Fehlerursachen geschaffen werden. Zwar führt nicht jeder 
Fehler zu einem gefährlichen Systemzustand und ist somit riskant. Dennoch 
oder gerade deswegen ist es aber erforderlich zu definieren, welche Fehler 
als gefährlich gelten, welche entdeckbar bzw. nicht entdeckbar sind und wel- 
che Gegenmaßnahmen umgesetzt werden müssen, um ein akzeptables Risiko 
einhalten zu können. Abbildung 2.3 stellt das Prinzip der Risikominimie- 
rung dar. Zur Ermittlung des zu einem bestimmten Zeitpunkt vorliegenden 
Risikos muss eine Gefahren- und Risikoanalyse (GuR) durchgeführt werden. 
Hierbei werden zunächst — bspw. im Zuge einer Fehlermöglichkeits- und - 
einflussanalyse (FMEA) - alle Ereignisse aufgelistet, die sicherheitskritische 
Fehler verursachen können. Darüber hinaus liefert die FMEA Informationen 
über die dazugehörigen Fehlerursachen und -folgen, über die Fehlerhäufigkeit 
sowie über die Dauer der Gefährdung. Anschließend kann auf der Basis der 
so gewonnenen Informationen ermittelt werden, in welcher Höhe das jeweili- 
ge Risiko liegt, um geeignete Gegenmaßnahmen entwickeln und umsetzen zu 
können. 

Dabei ist das Vorgehen, die auftretenden Fehler zum einen nach der Schwere 
des Schadens zu differenzieren und zum anderen danach, ob diese Schäden 
reversibel Sı oder irreversibel S2 sind. Anschließend muss die Häufigkeit ge- 
wichtet werden, d. h., es muss bestimmt werden, ob das fragliche Ereignis selten 
bzw. kurz F oder häufig bzw. lang F> eintritt. Abschließend wird bewertet, 
ob und inwiefern es möglich ist, die Auswirkungen des fraglichen Fehlers zu 
vermeiden. Dies ist entweder möglich Pı oder nicht möglich P2. Auf der Basis 
dieser Bewertung werden in Bezug auf die zuvor analysierten Ereignisse die 
Anforderungen festgelegt, die an die einzelnen Komponenten zu stellen sind. 
Dies geschieht in Form von sog. Kritikalitätsleveln, die auch als Sicherheits- 
oder Gefährdungslevel bezeichnet werden. 
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ae Tolerierbares nicht tolerierbares 
Restrisiko ER: ead 
Restrisiko Restrisiko 


! 1 Notwendige Risikominderung 1 
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Durchgefiihrte Risikominderung 


Niedriges Risiko 
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F1 F2 Fl F2 


Startpunkt 


Abbildung 2.3: Das Konzept der Risikominimierung, in Anlehnung an die IEC 61508 [14] und 
den Risikograph nach DIN V 19250 


Für die Analyse von Fehlern und die darauf aufbauende Zuverlässigkeitsbe- 
wertung gelten unterschiedliche Ableitungen der IEC 61508 [14]. Diese Norm 
gilt für die Verkehrsbereiche Luft- und Raumfahrt DO-178B/C, für den Stra- 
‚enverkehr ISO 26262 sowie für den Schienenverkehr EN 50128. In Tabelle 
2.1 sind diesbezüglich die Kritikalitätslevel und die Wahrscheinlichkeiten der 
funktionalen Sicherheitsstandards für das Eintreten eines gefährlichen Fehlers 
pro Stunde? aufgeführt. Hierbei muss beachtet werden, dass das Kritikalitäts- 
level als absolute Wahrscheinlichkeit und als Wahrscheinlichkeit pro Stunde 
angegeben werden kann. Die hier angegebenen Wertebereiche stammen aus 
der IEC 61508 und können für andere Standards abweichen. 


3 Probability of a Dangerous Failure per Hour (PFH) 
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Performance Level a b c d e 
IEC 61508 | Basis (SIL 0) SIL 1 SIL 2 SIL 3 SIL 4 
ISO 26262 | Automobil QM ASILA |JASILB/C| ASILD 

DO-178C | Zivile Luftfahrt | Level E Level D Level C Level B Level A 
EN 50128 | Schienenverkehr | SILO SIL 1 SIL 2 SIL 3 SIL 4 
ISO 13849 | Maschinenbau PLa PLb/PLc PLd PLe 

IEC 62304 | Medizin Klasse A Klasse B Klasse C 

IEC 60730 | Haushalt Klasse A Klasse B Klasse C 

PFH“ nach IEC 61508 1075 bis 1074 | 1076 bis 1075 | 1077 bis 1076 | 1078 bis 1077 | 107° bis 10-8 


Tabelle 2.1: Einstufung der Kritikalitätslevel und die zulässige Ausfallrate in Fehlern pro Stunde 
(PFH) nach [14] 


Akzeptiertes Risiko für hochautomatisierte Fahrfunktionen 


Mit der Möglichkeit Risiken zu quantifizieren, ist es grundsätzlich möglich, 
Risikobewertungen technischer Systeme durchzuführen. Dabei muss die Frage 
nach dem verbleibenden Restrisiko gestellt und beantwortet werden. Diese Fra- 
ge kann nicht allein aus technischer Sichtweise vollständig beantwortet werden 
und bedarf daher zusätzlich sowohl einer juristischen als auch einer ethischen 
Einordnung. Hierbei kann zum einen auf das ALARP-Verfahren* zuriickge- 
griffen werden; zum anderen muss der Gesetzgeber klare Anforderungen bzw. 
Grenzwerte festlegen, die für hochautomatisierte Systeme gelten sollen. 

Die Ethik-Kommission für automatisiertes und vernetztes Fahren hat für die 
wesentlichen Fragestellungen zum hochautomatisierten bzw. autonomen Fah- 
ren im Juni 2017 ihren Abschlussbericht vorgelegt [162]. Laut diesem Bericht 
dürfen Kraftfahrzeuge, die hoch- bzw. vollautomatisiert sind, weniger Unfäl- 
le verursachen als solche, die von menschlichen Fahrern gesteuert werden. 
Darüber hinaus werden in den in Unterkapitel 2.2 diskutierten Zulassungsvor- 
aussetzungen weitere Grenzen für das zu erwartende Restrisiko spezifiziert. 
In diesem Sinne muss bei jedem neu entwickelten System das Risiko für das 
Eintreten eines gefährlichen Ereignisses geprüft werden und es müssen ge- 
eignete Maßnahmen entwickelt und angewendet werden, um das verbleibende 


* ALARP steht für As Low As Reasonably Practicable und bedeutet, dass ein Restrisiko so 
gewählt werden sollte, dass es maximal niedrig ist, wobei die sich daraus ergebenden Normen 
zugleich aber noch vernünftigerweise praktikabel sein müssen. 
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Restrisiko auf ein akzeptables Maß zu reduzieren. 

In der vorliegenden Arbeit werden elektrische Energieversorgungssysteme für 
hochautomatisierte Fahrfunktionen bis Stufe 4 (vgl. Tabelle 1.1) behandelt und 
diskutiert. Hierbei leiten sich die Anforderungen an das Gesamtsystem aus der 
Risikoanalyse nach ISO 26262 [68] ab. Auf der Grundlage der in Kapitel 4 
vorgestellten elektrischen Energieversorgungsstrukturen und einer Bewertung 
der möglichen Fehler wird in Unterkapitel 4.7 eine Risiko- und Gefahrenana- 
lyse für hochautomatisierte Fahrfunktionen durchgeführt. Aus dieser Analyse 
werden anschließend die wesentlichen Anforderungen an die elektrische Ener- 
gieversorgung hinsichtlich deren Zuverlässigkeit und Verfügbarkeit abgeleitet. 


2.3.4 Verfahren zur Erhöhung der Zuverlässigkeit 


Die Zuverlässigkeit von technischen Komponenten und somit von technischen 
Systemen ist nicht beliebig steigerbar, sondern prinzipiell begrenzt. Ein ge- 
wisses Restrisiko bleibt daher immer bestehen. Die Zuverlässigkeit lässt sich 
aber erhöhen, indem mögliche Risiken minimiert werden. Zu diesem Zweck 
müssen die Wahrscheinlichkeiten für das Auftreten gefährlicher Fehler in den 
verschiedenen Komponenten bzw. für einen damit ggf. einhergehenden Ausfall 
des Gesamtsystems identifiziert werden. In der Praxis bedeutet das, die Art und 
die Häufigkeit jener Fehler zu identifizieren, die zu einem gefährlichen Ereig- 
nis führen können. Bezüglich der im System verbleibenden Restfehler stellt 
sich die Frage, wie die von diesen Fehlern ausgehenden Risiken wirkungsvoll 
reduziert werden können bzw. wie die Zuverlässigkeit des Gesamtsystems er- 
höht werden kann. 

Mathematisch wird die Zuverlässigkeit einer bestimmten Komponente bzw. 
eines bestimmten Systems als die Wahrscheinlichkeit dafür aufgefasst, dass 
die fragliche Komponente bzw. das fragliche System innerhalb eines Zeitin- 
tervalls [0,7) ihre bzw. seine bestimmungsgemäße Funktionalität beibehält. 
Dabei wird die Zuverlässigkeit eines Systems über die Überlebenswahrschein- 
lichkeitsfunktion R(t) definiert. Es gilt: 


_JR@=1 1=0 
RT IM =0 t>o. en) 
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Die Zuverlässigkeit eines Gesamtsystems ist dabei abhängig von der Zuver- 
lässigkeit aller einzelnen Teilsysteme. Vor diesem Hintergrund wird bei der 
Betrachtung von Systemen zwischen einer seriellen und einer parallelen Struk- 
tur unterschieden. Ein System wird dann als Seriensystem bezeichnet, wenn 
der Ausfall einer einzelnen Komponente zum Ausfall des Gesamtsystems führt 
(vgl. Abbildung 2.4 (a)). Als Parallelsystem gilt ein System dann, wenn es erst 
beim Ausfall aller Teilsysteme bzw. Komponenten ausfällt bzw. wenn das Sys- 
tem bereits mit einer einzigen intakten Komponente funktionsfähig ist (vgl. 
Abbildung 2.4 (b)). Um die Überlebenswahrscheinlichkeit eines seriellen Sys- 


Ri(t) 


L fro L 
(a) (b) 


Abbildung 2.4: Serielle (a) und parallele (b) Systemstruktur 


tems zu berechnen, muss man die inhärenten Überlebenswahrscheinlichkei- 
ten P aller Komponenten dieses Systems gemäß des Multiplikationssatzes der 
Wahrscheinlichkeitsrechnung miteinander multiplizieren. Denn der Multipli- 
kationssatz besagt, dass die Wahrscheinlichkeit für das zeitgleiche Eintreten 
von unabhängigen Ereignissen als Produkt ihrer jeweiligen Einzelwahrschein- 
lichkeiten aufzufassen ist. Somit gilt für eine Serienstruktur: 


P(AN...Nn)=P(A):...: P(n). (2.4) 


Die Systemüberlebenswahrscheinlichkeit eines seriellen Gesamtsystems ist al- 
so das Produkt aller Komponentenüberlebenswahrscheinlichkeiten. Es gilt: 


Rs(t) = | | Rilo. (2.5) 


i=l 
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Die Parallelstruktur hingegen lässt sich mathematisch betrachtet als ein dis- 
junktes Ereignis beschreiben und in Boolescher Algebra ausdrücken als 


P(AUBUn)=P(A)+...+P(n) - P(A):-...- P(n). (2.6) 


Aus dieser Gleichung geht hervor, dass in der Wahrscheinlichkeit für das 
Überleben einer Komponente auch die Wahrscheinlichkeit des gleichzeitigen 
Überlebens aller Komponenten beinhaltet ist. Daher muss hiervon das Produkt 
der Einzelwahrscheinlichkeiten aus Gleichung 2.4 subtrahiert werden. 

Im Falle einer Parallelstruktur entspricht die Systemüberlebenswahrschein- 
lichkeit somit der Summe aller Komponentenüberlebenswahrscheinlichkeiten 
abzüglich des Produkts derselben. Die Systemwahrscheinlichkeit für eine Par- 
allelstruktur lässt sich dementsprechend ausdrücken als 


Rs) =1-| [G- Ri). (2.7) 
i=l 


Aus den Gleichungen 2.5 und 2.7 wird ersichtlich, dass zur Erhöhung der Sys- 
temzuverlässigkeit die Umsetzung einer Parallelstruktur von Vorteil ist. 

In Abbildung 2.5 sind Systeme mit einer unterschiedlichen Anzahl von seriellen 
und parallelen Komponenten sowie mit unterschiedlichen Werten für die Kom- 
ponentenzuverlässigkeit dargestellt. Hierbei ist zu beachten, dass die Abszisse 
invertiert dargestellt ist. Deutlich erkennbar ist, dass eine einfache Parallelstruk- 
tur entweder zu dem Zweck genutzt werden kann, die Systemzuverlässigkeit zu 
erhöhen, oder aber dazu, um (bei gleichbleibender Systemzuverlässigkeit im 
Vergleich zum Einfachsystem) die Zuverlässigkeit der einzelnen Komponenten 
zu reduzieren. Letzteres ist dann sinnvoll, wenn die Einzelkosten der Kompo- 
nenten reduziert werden sollen, ohne die Systemzuverlässigkeit zu verringern. 
Diese Strategie ist besonders vor dem Hintergrund der Tatsache interessant, 
dass die Erhöhung der Systemzuverlässigkeit zumeist mit einer Erhöhung der 
Kosten einhergeht, da Komponenten mehrfach benötigt werden. Es existieren 
verschiedene Möglichkeiten, um Parallelstrukturen bzw. Redundanzen zu rea- 
lisieren. Im Allgemeinen wird bezüglich der verschiedenen Redundanzarten 
unterschieden zwischen 


e heißen, 


e warmen und 
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Abbildung 2.5: Vergleich der Systemzuverlässigkeit R von parallel p und seriell s verschalteten 
Komponenten 


e kalten Redundanzen. 


Unter einer heißen Redundanz wird das Vorhandensein einer zweiten, iden- 
tischen Komponente verstanden, welche parallelgeschaltet und im Normal- 
betrieb den gleichen Belastungen ausgesetzt ist wie die erste. Ein Beispiel 
hierfür sind die Bremssysteme von Personenkraftwagen. Diese sind in zwei 
Bremskreisläufe aufgeteilt. Im Normalbetrieb sind beide aktiv. Beim Ausfall 
eines Kreislaufs gibt es weiterhin einen zweiten, funktional äquivalenten Kreis- 
lauf, womit sichergestellt ist, dass weiterhin eine hinreichende Bremsleistung 
bereitgestellt werden kann, um das Erreichen eines sicheren Zustands zu ge- 
währleisten. 

Bei einer warmen Redundanz gibt es zusätzlich zur Hauptkomponente eine 
zweite, funktional zwar nicht vollständig äquivalente Komponente, die bei ei- 
nem Ausfall der Hauptkomponente aber ausreicht, um einen Notbetrieb der 
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fraglichen Funktion aufrechtzuerhalten. Diese zweite Komponente ist mit dem 
System verbunden, im Normalbetrieb allerdings weniger stark belastet als die 
Hauptkomponente. Daher unterliegt sie meist auch deutlich geringeren Anfor- 
derungen als die Hauptkomponente. Durch eine warme Redundanz kann die 
Systemzuverlässigkeit also zwar erhöht werden. Dies kann jedoch nur tem- 
porär erreicht werden, da ein dauerhafter Einsatz (wie bei der ursprünglichen 
Komponente) im Fall einer warmen Redundanz nicht möglich ist. Ein Beispiel 
für eine warme Redundanz ist der Energievorhalt eines kleineren Energiespei- 
chers. Dieser wird zwar aktiv geladen und entladen und ist somit nicht zu jedem 
Zeitpunkt voll geladen; dennoch kann er im Fall eines Ausfalls des Hauptener- 
giespeichers zumindest temporär eine hinreichend große Menge an Energie für 
die sicherheitsrelevanten Verbraucher bereitstellen, um so das Erreichen eines 
sicheren Systemzustandes zu gewährleisten. 

Bei einer kalten Redundanz ist die zusätzliche Komponente während des ge- 
wöhnlichen Systembetriebs nicht aktiv und wird nur beim Ausfall des Haupt- 
systems zugeschaltet. Da kalte Redundanzen — anders als heiße und warme 
Redundanzen — im Normalbetrieb also nicht mit dem System verbunden sind, 
gibt es keine Möglichkeit, ihre Funktionstüchtigkeit bzw. Einsatzfähigkeit zu 
überprüfen. Daher kann nur durch regelmäßige Überprüfungen des Systems 
sichergestellt werden, dass kalte Redundanzen bei Zuschaltung garantiert funk- 
tionieren. Ein weiterer wesentlicher Nachteil von kalten Redundanzen ist, dass 
jederzeit zwei Systeme mitgeführt werden müssen, obwohl im Normalbetrieb 
nur eines von beiden benötigt wird. Heiße und warme Redundanzen bieten im 
direkten Vergleich hierzu den Vorteil, dass die Gesamtsysteme, in denen sie 
verbaut werden, effizienter dimensioniert werden können. 

Problematisch im Hinblick auf alle drei Redundanzarten ist die Tatsache, dass 
systematische Komponentenfehler, die sowohl in der Software als auch in der 
Hardware bestehen können, durch das Einführen von Redundanzen - egal, 
welcher Art — nicht eliminiert werden können. Aus diesem Grund ist es er- 
forderlich, auf das Konzept der Diversität zurückzugreifen. Die grundlegende 
Idee hierbei besteht darin, nicht systematische Fehler als solche auszuschlie- 
ßen, sondern zu verhindern, dass ihr Auftreten gefährliche Konsequenzen für 
das System hat. Dies wird erreicht, indem sicherheitsrelevante Funktionali- 
täten auf verschiedene — also diverse - Komponenten verteilt werden. Auch 
bei einem Ausfall einer Komponente ist somit jederzeit sichergestellt, dass 
eine andere, von dieser Komponente unabhängige Komponente mit derselben 
Funktionalität vorhanden ist, die den Ausfall instantan ausgleicht. Auf diese 
Weise kann durch die Verwendung voneinander unabhängiger Komponenten 
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nahezu ausgeschlossen werden, dass systematische Fehler gefährliche Konse- 
quenzen haben. Das Konzept der Diversität kann dabei sowohl auf Hardware- 
Ebene - z. B. durch Verwendung unterschiedlicher Prozessoren — als auch 
auf Software-Ebene — z. B. durch Verwendung unterschiedlicher Program- 
miersprachen und damit auch unterschiedlicher Compiler — umgesetzt werden. 
Einen guten Überblick über verschiedene Anwendungsarten der Diversität in 
der Luft- und Raumfahrt bietet [117]. Popov [58] hat eine Methode zur Quan- 
tifizierung der Diversität entwickelt. In seiner Arbeit führt Popov den Faktor 
der Diversitätstiefe (depth of diversity) Q ein, welcher eine Aussage über das 
Maß der Diversität zulässt. Unter der Annahme, dass die hier relevanten Fehler 
für jeden Kanal? unabhängig voneinander sind, ist Q dabei definiert zu 


ANB 


Q=1- ; 
AUB 


(2.8) 


Bei einem Wert von Q = | ist die maximale Diversitätstiefe erreicht, während 
ein Wert von Q = 0 bedeutet, dass keine Diversität vorliegt. 

Anders als z. B. in der Luft- und Raumfahrtindustrie wird in der Automo- 
bilindustrie grundsätzlich keine Diversität gefordert. Steuergeräte und damit 
Recheneinheiten werden vielmehr so ausgelegt, dass Funktionen, welche die 
Längs- und Querdynamik beeinflussen, redundant ausgeführt werden. Vor der 
Aktoransteuerung werden die Ergebnisse der Funktionen miteinander vergli- 
chen bzw. plausibilisiert. Wie in [6] gezeigt wird, besteht die Möglichkeit 
Multicore-Prozessoren zu nutzen, um die Funktionen auf jedem Prozessor zu 
berechnen und deren Ergebnisse miteinander zu vergleichen. Die Autoren ver- 
weisen jedoch auf die nicht vorhandene Diversität bzw. auf die Problematik, 
dass systematische Fehler nicht ausgeschlossen werden können. Eine weite- 
re Möglichkeit, um das Lenksystem redundant und im obigen Sinne divers zu 
gestalten, wird in [85] vorgestellt, wobei das Steuergerät der elektronischen Ser- 
volenkung sowohl in der Prozessorarchitektur als auch in der Aktoransteuerung 
redundant ausgeführt ist. In der von A. Kohn [85] durchgeführten Untersuchung 
werden zwar zwei identische Prozessoren verwendet; grundsätzlich eignet sich 
diese Architektur jedoch auch für den Einsatz zweier voneinander unabhän- 


5 Kanal steht hier für das Vorhandensein einer Parallelstruktur. Ein Kanal kann in sich zwar meh- 
rere serielle sowie parallele Komponenten beinhalten, fungiert im Kontext des Gesamtsystems 
jedoch als eine Parallelstruktur. 
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giger Prozessoren, um z. B. systematische Fehler in der Prozessorarchitektur 
ausschließen zu können. 


2.4 Grundlagen der Zuverlässigkeitstheorie 


In diesem Unterkapitel soll die Frage beantwortet werden, wann eine Kompo- 
nente bzw. ein System, das aus mehreren Komponenten besteht, intakt oder 
ausgefallen ist. 

Die Zuverlässigkeit wird im Allgemeinen als die Fähigkeit eines technischen 
Systems definiert, innerhalb eines bestimmten Zeitintervalls seine vorgesehene 
Funktion zu erfüllen. Da die Zuverlässigkeit nicht aus physikalischen Grund- 
gleichungen abgeleitet werden kann, wird sie stattdessen als stochastische Grö- 
Be aufgefasst. Zur Berechnung der Zuverlässigkeit müssen Informationen aus 
Laborprüfungen bzw. aus Felddaten zur Verfügung stehen. Dabei wird ange- 
nommen, dass ausschließlich Sprungausfälle auftreten, d. h., dass das System 
entweder den Zustand funktionsfähig oder ausgefallen besitzt. Zur Beschrei- 
bung des Systemzustands wird die Boolesche Variable Y(t) eingeführt. Es 
gilt: 


: (2.9) 
0 System ist ausgefallen. 


V(t) = ( System ist funktionsfahig 
Das Ausfallverhalten einer Komponente bzw. eines Systems wird nun über 
das Konzept der Uberlebenswahrscheinlichkeit mit Hilfe von Y(t) bestimmt. 
Hierbei ist Y(t) als Zufallsvariable aufzufassen. Für die Uberlebenswahrschein- 
lichkeit ps(t) gilt: 


P(Y(t) =1)=:ps(t). (2.10) 


Nun wird die Zeitspanne vom Arbeitsbeginn bis zum Ausfall der betrachteten 
Komponente bzw. des betrachteten Gesamtsystems als Lebensdauer T einge- 
führt. Dabei ist T eine Zufallsvariable, die zur Darstellung der zeitabhängigen 
Systemfunktion Y(t) dient. Die wesentlichen Zuverlässigkeitskenngrößen sind 
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mit der Wahrscheinlichkeitsverteilung von T verkniipft. Die Systemfunkti- 
on Y(t) ist definiert zu 


1 wenn t<T 
Y(t) = | (2.11) 
0 wenn t>T. 


Die Ausfallwahrscheinlichkeit ist die Verteilungsfunktion F7(t) der Lebens- 
dauer T der betrachteten Komponente bzw. des betrachteten Gesamtsystems 
und gibt die Wahrscheinlichkeit dafür an, dass im Zeitintervall [0, t] der Ausfall 
eintritt. F(t) ist definiert zu 


Fri)=P(T>21)  (t<0). (2.12) 


Dabei gilt im Allgemeinen, dass 0 < Fr(t) < 1 und F7(0) > 0 vorausgesetzt 
werden kann. 

Die Überlebenswahrscheinlichkeitsfunktion, auch als Zuverlässigkeit bezeich- 
net, gibt die Wahrscheinlichkeit dafür an, dass im Zeitintervall [0,f) kein 
Ausfall der betrachteten Komponente bzw. des betrachteten Gesamtsystems 
eintritt. Die Zuverlässigkeit ist dabei definiert zu 


Rr(t)=P(T>)=1-Fr(t) (<0). (2.13) 


Eine weitere wesentliche Größe ist die Verfügbarkeit. Die Verfügbarkeit ent- 
spricht für nicht reparierbare Systeme der Überlebenswahrscheinlichkeit bzw. 
der Zuverlässigkeit. Im Fall von reparierbaren Systemen ist die Verfügbarkeit 
die Wahrscheinlichkeit dafür, dass zum Zeitpunkt r kein Ausfall eingetreten ist. 
Es gilt: P (X (t) = 1). Unter der Annahme, dass die Verteilungsfunktion F(t) 
der Lebensdauer T in [0, t) differenzierbar ist, wird mit der ersten Ableitung 
die Lebensdauerdichte bzw. die Ausfalldichte berechnet. Die Ausfalldichte ist 
definiert zu 


d 
Aue Fr(t). (2.14) 


Die Ausfalldichte besitzt die folgenden Eigenschaften: 


J fr (t) dt = F(t), [ ft (t) dt = 1. (2.15) 
0 0 
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Aus Gleichung 2.15 wird ersichtlich, dass die Fläche, die von der Dichtefunk- 
tion fr eingeschlossen wird, die Wahrscheinlichkeit eines Ausfalls darstellt. 
Somit kann durch Integration zwischen zwei Intervallgrenzen auf die Wahr- 
scheinlichkeit eines Ausfalls geschlossen werden. 


Die Ausfallrate 


Eine weitere und mitunter wichtige Größe ist die Ausfallrate.° Die Ausfallrate 
ist eine zusammenfassende Kenngröße und vereint eine Vielzahl von Einfluss- 
größen in sich, welche die Ausfallhäufigkeit beeinflussen. Definiert ist die 
Ausfallrate zu 


fr(t) 
Rr(t) 


Mit Blick auf technische Systeme können unterschiedliche Verläufe von Aus- 
fallratenfunktionen beobachtet werden und es kann zwischen Komponenten 
mit und solchen ohne Verschleißerscheinungen unterschieden werden. In Ab- 
bildung 2.6 ist ein idealisierter Verlauf einer Ausfallrate auf der Basis der 
Weibull-Verteilung mit unterschiedlichem Formparameter 8 dargestellt. Die- 
se Kurve wird entsprechend ihrer Form auch als Badewannenkurve (Bathtub 
Curve, BTC) bezeichnet. Der Bereich I stellt die Frühausfälle’, der Bereich I 
die zufälligen Ausfälle und der Bereich III die verschleißbedingten Ausfälle 
dar. 

Frühausfälle treten vor allem durch qualitativ bedingte Fehler auf. Zur Ver- 
meidung von Frühausfällen müssen geeignete Testverfahren entwickelt und 
angewendet werden. Unabhängig davon, ob es sich um mechanische oder elek- 
tronische Komponenten handelt, existiert eine Vielzahl von Testmethoden zum 
Fehlerausschluss und somit zur Erhöhung der Produktqualität. Für elektroni- 
sche Baugruppen (z. B. für Steuergeräte, Sensoren, Gleichspannungswandler 
etc.) Kann je nach Herstellungsverfahren und Komplexität der Baugruppe auf 
verschiedene Test- und Prüfverfahren zurückgegriffen werden [10]. In Abhän- 


Ar(t) = (2.16) 


6 Die Ausfallrate wird auch als Fehler- bzw. Gefährdungsrate (Hazard rate), teilweise auch als 
FIT-Rate, bezeichnet. 

7 Dieser Bereich wird auch als Instant Mortality bezeichnet. 

8 Dieser Bereich wird auch als Random Failure bzw. zufälliger, meistens als konstant angenom- 
mener Fehler bezeichnet. 
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Ausfallrate A(t) — 


Lebensdauer — 


Abbildung 2.6: Die Badewannenkurve der Ausfallrate mit den Bereichen des Frühausfalls, des 
zufälligen bzw. konstanten Ausfalls sowie des verschleißbedingten Ausfalls 


gigkeit davon, ob es sich um mechanische, elektro-chemische oder elektrische 
bzw. elektronische Komponenten handelt, variiert der Bereich mit konstanter 
Ausfallrate im Verlauf der Badewannenkurve aus Abbildung 2.6 deutlich. Me- 
chanische sowie elektro-chemische Baugruppen unterliegen einem Verschleiß, 
wodurch das Vorliegen einer konstanten Ausfallrate lediglich zu Beginn der 
Einsatzzeit dieser Komponenten angenommen werden kann. Bei elektrischen 
bzw. elektronischen Baugruppen hingegen kann kein signifikanter Verschleiß 
beobachtet werden. Aus diesem Grund können für elektrische bzw. elektroni- 
sche Baugruppen konstante Ausfallraten angenommen werden. 

Die Berechnung der Ausfallwahrscheinlichkeiten basiert im Wesentlichen auf 
Felddaten sowie auf darauf aufbauenden stochastischen Untersuchungen. Da 
diese Felddaten und Untersuchungen zu Beginn einer Neuentwicklung nur 
teilweise vorhanden sind, muss auf bereits existierende Fehlerdaten aus La- 
borprüfungen und Datensätzen sowie auf Felddaten ähnlicher Komponenten 
zurückgegriffen werden. In Abbildung 2.7 sind die Erfassungsmöglichkeiten 
von Ausfallraten zusammenfassend dargestellt. Grundsätzlich kann zur Be- 
rechnung von Ausfallraten auf eine der vier in der Abbildung dargestellten 
Methoden bzw. auf die dort genannten Modelle und Daten zurückgegriffen 
werden. Entscheidend für die Wahl der Methode ist, wie präzise die Aussage 
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Abbildung 2.7: Methoden zur Ermittlung bzw. Berechnung der Ausfallraten von bekannten und 
unbekannten Systemen 


über die mögliche Ausfallrate A(t) ausfallen muss. 

Die Parts-Count-Methode stellt ein einfaches und schnell anwendbares Verfah- 
ren dar, welches vor allem zur Abschätzung einer ersten Tendenz sinnvoll ist. 
Dabei wird die Ausfallrate des Gesamtsystems bestimmt, indem zunächst die 
Ausfallraten der einzelnen Komponenten? berechnet werden und anschließend 
über die Ausfallraten aller Komponenten des Gesamtsystems aufsummiert 
wird. Diese wird häufig aus bereits bekannten Datensätzen bzw. Handbüchern 
entnommen. Ein in diesem Zusammenhang relevantes und weit verbreitetes, 
jedoch mittlerweile als ungültig zurückgezogenes Handbuch für die Zuverläs- 
sigkeitsvorhersage von elektronischer Ausrüstung bzw. elektronischen Bau- 
gruppen ist das Military Handbook (MIL-HDKB-217F) [40]. 

Mit der modellbasierten Methode besteht die Möglichkeit, bereits bekannte 
Modelle zur Berechnung von Ausfallraten zu nutzen. Hierbei werden aus be- 
kannten Ausfalldaten Basis- bzw. Belastungsfaktoren abgeleitet, um anschlie- 
Bend auf der Basis dieser Werte die Ausfallraten für neue Komponenten zu 
berechnen. Die Ausfallrate A ist in diesen Fällen konstant und definiert zu 


À = ABasis' M1 ° N2°... "Mn: (2.17) 


9 Die Ausfallrate für eine einzelne Komponente wird gebildet, indem deren Anzahl mit einer 
konstanten Ausfallrate multipliziert wird. 
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Dabei ist Agasis die grundsätzliche Ausfallrate, welche auf der Basis bereits 
vorhandener Daten ermittelt wurde. Die spezifische Ausfallrate fiir die jeweils 
untersuchte neue Komponente wird über die verschiedenen Faktoren 7)... 7p, 
an die jeweiligen Umgebungs- und Belastungsbedingungen angepasst. Die 
Faktoren variieren hierbei je nach zu modellierender Komponente und sind 
abhängig von den bereits vorhandenen Ausfalldaten. Im Wesentlichen werden 
hierbei Faktoren für die Herstellung, die Umwelt und den Betrieb bzw. die 
Belastung der fraglichen Komponenten berücksichtigt. 

In Unterkapitel 2.5 werden diverse Standards zur Berechnung von Ausfall- 
raten vorgestellt und es werden zugrunde liegende Modellansätze diskutiert. 
Die Datengrundlage für die Berechnung von Ausfallraten wird zum Teil auch 
aus Testdaten aus Komponenten- bzw. Baugruppentests gewonnen. Zu die- 
sem Zweck werden mit den ersten Mustern bzw. mit dem Vorserienprodukt 
Ausfalltests durchgeführt. Aus diesen Tests lassen sich ebenfalls Ausfallraten 
ableiten, wenn auch auf der Basis eines sehr kleinen Stichprobenumfangs. 
Aufgrund der kleinen Grundmenge ist es in diesen Versuchen nicht möglich, 
sehr kleine Fehlerraten nachzuweisen. Häufig treten auch gar keine Fehler auf, 
sodass nur bedingt Aussagen über die Eintrittswahrscheinlichkeit von Fehlern 
mit kleiner Ausfallrate abgeleitet werden können. 

Grundsätzlich stehen zwar sehr umfangreiche Felddatensätze aus Werkstat- 
taufzeichnungen bzw. von Servicedienstleistern wie z. B. dem Allgemeiner 
Deutscher Automobil-Club (ADAC) zur Verfügung. Diese sind für die hier 
verfolgten Zwecke jedoch unzureichend, da mit ihnen nur übergeordnete Feh- 
lerkategorien gebildet werden können, aus denen Fehlerverteilungen abgeleitet, 
aber keine Wahrscheinlichkeiten berechnet werden können. Theoretisch wäre 
es zwar möglich, diese Quelle zur Berechnung von Ausfallraten zu nutzen, 
indem man fehlende Informationen abschätzt. Im Kontext der automobilen 
Vorentwicklung wäre auch das jedoch nicht ausreichend, da auch dann noch 
immer entscheidende Informationen fehlten (bspw. darüber, wie lange Batte- 
rien verbaut waren, bevor sie getauscht wurden, oder darüber, wie groß die 
Grundgesamtheit der für die Statistik relevanten Fahrzeuge war), sodass die 
Ergebnisse mit hoher Wahrscheinlichkeit fehlerbehaftet wären. Um verlässli- 
chere Zahlen zu erhalten, wird in der vorliegenden Arbeit daher stattdessen 
auf die oben genannten Ausfallratenhandbücher sowie auf Daten aus eigenen 
Untersuchungen [110] und [109] zurückgegriffen. 
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2.4.1 Lebensdauerverteilungen 


Allen Lebensdaueruntersuchungen liegt die Erfassung empirischer Daten zu- 
grunde. Dies gilt unabhängig davon, ob einzelne Komponenten oder gesamte 
Baugruppen untersucht werden. Bei den empirisch erfassten Daten handelt 
es sich um Daten aus Stichproben. Dabei werden n > 1 Elemente beobach- 
tet, wobei sowohl n als auch der Beobachtungszeitraum möglichst groß ge- 
wählt werden sollten. Da dies aus Kostengründen jedoch oft nicht möglich ist, 
sind die Stichproben häufig unvollständig. Um dennoch Zuverlässigkeitsana- 
lysen durchführen zu können, müssen geeignete Wahrscheinlichkeitsmodelle 
gewählt werden. 

Auf der Basis solcher Wahrscheinlichkeitsmodelle können Erkenntnisse über 
die Ausfallraten — konstante und zeitabhängige — sowie über weitere statis- 
tische Größen gewonnen werden. In Abhängigkeit davon, welche Kompo- 
nenten betrachtet werden, treten unterschiedliche Ausfallverteilungen auf. Bei 
elektronischen Komponenten sind häufig konstante Ausfallraten beobachtbar. 
Auch mechanische Komponenten weisen oft einen kleinen Bereich konstanter 
Ausfallraten auf, gehen dann aber in den verschleißbehafteten Bereich über. 
Ähnlich verhält es sich bei elektro-chemischen Komponenten wie Energiespei- 
chern. Hier steigt die Ausfallrate mit zunehmender Einsatzzeit stetig an. 

Zur Berechnung der Ausfallrate einer Komponente muss zunächst deren Le- 
bensdauer ermittelt werden. Dies geschieht auf der Basis von Lebensdauer- 
versuchen mit einer bestimmten Grundgesamtheit der fraglichen Komponente. 
Aus den entsprechenden Aufzeichnungen bzw. Auswertungen der Versuchs- 
ergebnisse lässt sich die Lebensdauerverteilung bestimmen. Die wichtigsten 
Lebensdauerverteilungen im technischen Bereich sind 


e die Exponentialverteilung und 


e die Weibull-Verteilung. 


Die Exponentialverteilung wird zur Abbildung konstanter Fehlerraten und am 
häufigsten im elektronischen Bereich verwendet. Die Weibull-Verteilung ist ei- 
ne Erweiterung der Exponentialverteilung und ermöglicht teilweise eine sehr 
gute Anpassung an Datensätze aus dem Feld. Beispielsweise konnte in [110] 
die auftretende Fehlerhäufigkeit von Blei-Säure-Batterien anhand einer zwei- 
fachen Weibull-Verteilung approximiert werden. 
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Die Exponentialverteilung 


Die Exponentialverteilung besitzt fiir eine Zufallsvariable X mit dem Ska- 
lenparameter A und dem zeitabhängigen Argument r die folgend definierte 
Dichtefunktion: 


det 1>0, 
At) = \ rai (2.18) 


Durch Variation des Skalenparameters 4 lassen sich verschiedene Funktions- 
verläufe erreichen (vgl. hierzu Abbildung 2.8). Die Exponentialverteilung lässt 


| 
0 0,5 1 1,5 2 259 3 


Parameter  — 


Abbildung 2.8: Exponentialverteilung 


sich durch Betrachtung eines infinitesimal kleinen Zeitintervalls dt so inter- 
pretieren, dass f(t) -dt die Wahrscheinlichkeit für den Eintritt eines zufälligen 
Ereignisses im Zeitintervall [t,t + At] abbildet. Die Wahrscheinlichkeit hierfür 
wird dabei direkt durch die Verteilungsfunktion ersichtlich. Diese ist fiir das 
Argument ¢ definiert zu 


t 1- et t> 0, 
F(t) = I failt) dr = E er (2.19) 
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Die Verteilungsfunktion beschreibt die Wahrscheinlichkeit dafür, dass F(t) = 1 
der betrachteten Grundgesamtheit bis t = n ausgefallen sind. Für die Vertei- 
lungsfunktion ergeben sich durch Variation des Parameters A die in Abbil- 
dung 2.9 dargestellten Verläufe. Wie zu erkennen ist, konvergieren die beob- 


0 | | | | | 


0 0,5 1 15 2 29 3 


Parameter t —> 


Abbildung 2.9: Verteilungsfunktion der Exponentialverteilung 


achteten Verläufe gegen 1. Die Größe ¢ ist dabei dimensionslos bzw. kann 
auch einen zeitlichen Verlauf repräsentieren. Im Automobilsektor sind Beob- 
achtungszeiträume von mehreren Monaten bis zu mehreren Jahren üblich. 
Auf der Basis der Exponentialverteilung berechnet sich die Ausfallrate mit 
Gleichung 2.16 zu 


fA 


MST By 


(2.20) 
Hier ist zu beriicksichtigen, dass die Ausfallrate zur Unterscheidung bewusst 
mit h(t) bezeichnet wurde, um eine Verwechslung mit dem Skalenparameter A 
zu vermeiden. Die Ausfallrate h(t) der Exponentialverteilung ist konstant und 
eignet sich damit zur Berechnung von Systemzuverlässigkeiten mittels Feh- 
lerbäumen, Markov-Ketten usw. Die Ausfallrate mit dem bisher verwendeten 
Skalenparameter A ist in Abbildung 2.10 dargestellt. Die hier dargestellten 
Ergebnisse machen deutlich, dass mit den Gleichungen 2.18 und 2.19 für die 
Ausfallrate h(t) = A, wenn A > 0 gilt. Da der Erwartungswert der Exponenti- 
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Abbildung 2.10: Ausfallrate der Exponentialverteilung 


alverteilung aufgrund der Konstanz der Ausfallrate immer bei r = 0 liegt, kann 
der Erwartungswert mit 


(2.21) 


angegeben werden. 
Der Erwartungswert stellt neben der Ausfallrate eine weitere wesentliche Grö- 
Be in der Zuverlässigkeitsanalyse dar. In Bezug auf nicht reparierbare Systeme 
wird der Erwartungswert als Mean Time To Failure (MTTF) bezeichnet. Ist 
das System reparierbar, beschreibt der Erwartungswert die Zeit zwischen den 
Fehlern bzw. zwischen einer Wartung oder Reparatur und wird dementspre- 
chend als Mean Time Between Failure (MTBF) bezeichnet. 

Neben der einparametrigen Exponentialverteilung kann der Lageparameter 
auch mit der zweiparametrigen Exponentialverteilung um den Betrag y ver- 
schoben werden. Dabei ist die Dichtefunktion der zweiparametrigen Exponen- 
tialverteilung definiert zu 

det) 4>y>20, 420 

fat) = ( aii (2.22) 
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Der Parameter y verschiebt die Exponentialverteilung aus Gleichung 2.18, 
woraus sich die in Abbildung 2.11 dargestellten Verläufe ergeben. Dabei kann 
y Beträge < 0 annehmen. Durch Integration der Dichtefunktion f (t) der zwei- 
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Abbildung 2.11: Exponentialverteilung zweiparametrig 


parametrigen Exponentialverteilung lässt sich die Verteilungsfunktion F(t) 
angeben zu 


i 1- e70» t>y>0, A>0 
F() = [ Hod=!. ° Er 7 (2.23) 
0 0 t <0. 


Die Verteilungsfunktion ergibt aufgrund der Verschiebung unterschiedliche 
Anfangswerte für den Parameter t. Zudem ändert sich auch die Berechnung 
des Erwartungswerts. Dieser ist mit der Verschiebung um y definiert zu 


E[X]=y+ A (2.24) 


Die Ausfallrate A(t) bleibt konstant und bildet weiterhin mit der Verschiebung 
um y den Parameter A ab. Es gilt h(t) = A = konstant. 
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Abbildung 2.12: Verteilungsfunktion Exponentialverteilung zweiparametrig 


Weibull-Verteilung 


Die Weibull-Verteilung ist eine der bekanntesten Lebensdauerverteilungen. 
Urspriinglich wurde sie vom schwedischen Ingenieur Waloddi Weibull fiir die 
Materialpriifung entwickelt. Heute wird die Weibull-Verteilung allerdings fiir 
eine Vielzahl von Fehlerverteilungen unterschiedlicher Komponenten verwen- 
det [2]. 

Die Weibull-Verteilung wird in der vorliegenden Arbeit mit dem Formparame- 
ter k und dem inversen Skalenparameter A bzw. u = + genutzt. Sie ist mit A 
definiert zu 


Ak (at) eC"  k> 0, A>0 


2.25 
0 A<O. ( ) 


AU) = | 


Des Weiteren lässt sich die Verteilungsfunktion der Zufallsvariablen mit u = + 
angeben: 


k 
ful) =; (2.26) 
0 


46 


2.4 Grundlagen der Zuverlässigkeitstheorie 


Beide Verteilungen können durch eine Variation der Parameter an verschiede- 
ne Fehlerverteilungen angepasst werden. In Abbildung 2.13 ist die Weibull- 
Verteilung mit A = 1 und k > O dargestellt. Die Weibull-Verteilung weist 


0 0,5 1 1,5 2 2,5 3 


Parameter t — 


Abbildung 2.13: Verteilungsfunktion der Weibull-Verteilung 


interessante Eigenschaften auf. Bei k = 1 ist sie eine Exponentialverteilung, 
bei k = 2 hingegen führt sie zur Rayleigh-Verteilung. Die Dichtefunktion F(t) 
der Weibull-Verteilung ist mit dem Parameter A definiert zu 


Lean k A 
F,(t) = | : Ad = (2.27) 


0 A<O. 


Des Weiteren lässt sich die Verteilungsfunktion der Weibull-Verteilung mit 
H= 1 angeben als 


k 
F, (t) = 1 a a k >0, H> 0 (2.28) 
u<0. 


Die angegebenen Verteilungen eignen sich zur Abbildung von Ausfall- bzw. 
Fehlerdaten unterschiedlicher Systeme. Die Wahrscheinlichkeit für einen Aus- 
fall bzw. Fehler wird dabei durch die Dichtefunktion F (t) abgebildet, die durch 
Integration der Verteilungsfunktion f(t) bei Ausfalldaten über die Zeit t ge- 
wonnen wird. Für die bereits bekannten Parameter von A und k sind die Kurven 
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der Dichtefunktion F(t) in Abbildung 2.14 dargestellt. Die Weibull-Verteilung 


—A=1,k =05 
—aA=1,k=1 


—aA=1,k=15 
—A=1,k =5 


0 0,5 1 1,5 2 25 3 


Parameter t — 


Abbildung 2.14: Dichtefunktion der Weibull-Verteilung 


wird in wissenschaftlichen Abhandlungen zum Thema Zuverlässigkeit zur Mo- 
dellierung von Lebensdauerdaten genutzt. Beispielsweise wurde in [120] auf 
der Basis der Weibull-Verteilung eine neue Methode zur Bestimmung der ki- 
lometerabhängigen Lebensdauer vorgestellt. Weitere Arbeiten zu Basisdaten 
sowie zur Ermittlung der Parameter der Weibull-Verteilung sind z. B. [106] 
und [122]. 
Ebenfalls von Interesse bei der Weibull-Verteilung ist die Ausfallrate. Diese ist 
im Gegensatz zur Exponentialverteilung nicht konstant, sondern vom Parame- 
ter r abhängig. Die Ausfallrate h(t) der Weibull-Verteilung ist damit definiert 
zu 
f(t) k-1 

h(t) = Fe Ak (AA. (2.29) 
Die Verteilung für A = 1 und mit Variation von k ist in Abbildung 2.15 
dargestellt. Deutlich zu erkennen ist die mit größer werdenden k zunehmende 
Steigung. Durch k < 0 lässt sich ein monoton fallender Verlauf erreichen. 
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h(t) — 
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Abbildung 2.15: Ausfallrate der Weibull-Verteilung 


Neben der Ausfallrate ist bei der Weibull-Verteilung auch der Erwartungswert 
von Interesse. Dieser besitzt die folgende Definition: 


E(X) = ; rfi + i): (2.30) 


Dabei ist die Gammafunktion das Integral von 0 bis œ über t. Die T'(a)- 
Funktion ist definiert zu 


I(a) =, 17! .e-'dt, für a > 0. (2.31) 
0 


Hierbei besitzt die I'(a)-Funktion die Eigenschaften (a + 1) = a - P(a) und 
T(1) =1. 

Eine weitere Methode zur Bestimmung von Ausfallraten liefert Pauli in [121]. 
Ein grundsätzliches Problem bei der Berechnung von Ausfallraten besteht in 
dem Umstand, dass in vielen Fällen keine oder nur unvollständige Datensät- 
ze vorhanden sind. Letzteres ist meist auf zu kurze Beobachtungszeiträume 
bzw. unzureichend dokumentierte Serviceintervalle oder auf nicht bekannte 
Grundgesamtheiten zurückzuführen. Um trotzdem Zuverlässigkeitsanalysen 
durchführen zu können, muss auf eigens für diese Zwecke entwickelte Ver- 
fahren zurückgegriffen werden. In [123] stellt Pauli ein geeignetes Verfahren 
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vor, um Zuverlässigkeitsprognosen fiir Kraftfahrzeugkomponenten auch bei 
unvollständigen Daten durchführen zu können. 

Die hier vorgestellten Exponential- und Weibull-Verteilungen sind die beiden 
bekanntesten Vertreter von Lebensdauerverteilungen. Solche Lebensdauerver- 
teilungen werden in der Wahrscheinlichkeitstheorie zu Modellierungszwecken 
benutzt, um die Eintrittswahrscheinlichkeiten bestimmter Ereignisse in der 
Zukunft auch dann bestimmen zu können, wenn diese physikalisch nicht hin- 
reichend definierbar sind. Beide Verteilungen lassen sich im Übrigen auch 
miteinander kombinieren, um beliebige Fehlerdatenverläufe abbilden zu kön- 
nen. 

In der Modellierung ist es oft erforderlich, logische Interaktionen sowie Fehler- 
und Funktionsverknüpfungen darzustellen. Hierfür wurden in der Vergangen- 
heit verschiedene qualitative und quantitative Methoden entwickelt. Im folgen- 
den Abschnitt werden die wesentlichen Methoden zur Erreichung der in dieser 
Arbeit verfolgten Zwecke motiviert und anschließend diskutiert. 


2.4.2 Qualitative und quantitative Methoden 


In der Zuverlässigkeitstheorie existieren eine Vielzahl von Methoden und Ver- 
fahren, um das Eintreten von Ereignissen sowohl qualitativ als auch quantita- 
tiv zu beschreiben bzw. vorherzusagen. Einige Methoden ermöglichen sowohl 
qualitative als auch quantitative Zuverlässigkeitsanalysen. Quantitative Analy- 
sen können allerdings nur dann durchgeführt werden, wenn hinreichend viele 
geeignete Informationen vorhanden sind, z. B. in Form von Test- bzw. Feld- 
daten. Daher müssen quantitativen Zuverlässigkeitsanalysen immer qualitative 
Bewertungen vorgeschaltet sein. Die Zielsetzung qualitativer Systemanalysen 
besteht darin, das jeweils untersuchte Gesamtsystem zu verstehen, d. h., die 
wesentlichen Systemstrukturen und die Wirkketten einzelner sowie kombi- 
nierter Ereignisse zu bestimmen. Zur Anwendung qualitativer Methoden sind 
dementsprechend Systeminformationen erforderlich, die im Rahmen der Sys- 
tementwicklung eines Produkts gesammelt werden. Jedes System wird dazu 
in seine Grundbestandteile zergliedert, um dessen grundlegende Funktion(en) 
sowie seine Interaktionen mit der Umwelt zu analysieren. Unter Hinzunahme 
der möglichen Fehlerfälle aller Komponenten können die wesentlichen Aus- 
fallstrukturen bestimmt werden. Von Interesse ist dabei, wie sich Einfachfehler, 
latente Fehlerfälle und Mehrfachfehler auf das System auswirken. Die anhand 
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von qualitativen Methoden gewonnenen Erkenntnisse über Strukturen lassen 
sich z. B. anhand von Fehlerbäumen oder Markov-Ketten beschreiben und ana- 
lysieren. 

Im nächsten Schritt erfolgt ggf. eine mathematische Beschreibung der qualita- 
tiven Modellbildung, die ihrerseits die Grundlage für zusätzliche quantitative 
Auswertungen bildet. Hierzu müssen die Wahrscheinlichkeiten der jeweiligen 
Fehlerfälle bzw. Systemübergänge bekannt sein. Das Ziel der quantitativen Sys- 
temanalyse besteht darin, die Wahrscheinlichkeiten für das Eintreten kritischer 
Systemzustände zu ermitteln, um daraus Anforderungen an die Systementwick- 
lung abzuleiten. Für Fehlerereignisse werden die Folgen und die sich daraus 
ergebenden kritischen Systemzustände identifiziert [1]. 

In der Entwicklung von Personenkraftwagen muss bereits frühzeitig eine Be- 
wertung einzelner Funktionen und Komponenten durchgeführt werden. Zu 
diesem Zweck wird zu Beginn der Neuentwicklung eine GuR!° durchgeführt. 
Ein mögliches Verfahren für eine solche GuR wird in Abschnitt 2.3.3 vorge- 
stellt und angewendet. 

Im Rahmen einer GuR müssen zunächst das Wirkprinzip und auf dieser Basis 
die Wirkkette untersucht werden. Auf der Basis der Ergebnisse dieser Un- 
tersuchungen wird anschließend definiert, welche Fehlerereignisse aufgrund 
ihrer Gefährlichkeit für die jeweils betroffenen Komponenten bzw. für das Ge- 
samtsystem mit welchem Aufwand vermieden werden müssen (wobei die Ge- 
fährlichkeit von der Eintrittswahrscheinlichkeit der Fehlerereignisse abhängt). 
Hierbei werden Grenzwerte in Form von Automotive Safety Integrity Le- 
vel (ASIL) festgelegt. Ein Beispiel hierfür ist, dass die E-Maschine der elektri- 
schen Servolenkung nie ein falsches Moment auf das Lenkgetriebe aufbringen 
darf. Denn die Folge wäre ggf. ein Verlassen der eigenen Spur und damit 
die Eigengefährdung sowie die Gefährdung des Gegenverkehrs bzw. anderer 
Verkehrsteilnehmer, infolgedessen es im schlimmsten Fall zu einem Unfall mit 
Todesfolge kommen könnte. Dieses Szenario wird in der GuR mit einem ASIL- 
D belegt [146] und muss mit jedem Aufwand, der zur Erzielung größtmöglicher 
Sicherheit erforderlich ist, vermieden werden. Dadurch ergeben sich weitrei- 
chende Anforderungen an den Entwicklungs- und Absicherungsprozess. Diese 
betreffen in dem hier beschriebenen Beispiel die Entwicklung der Lenkung 
selbst, aber auch darauf aufbauende Funktionen wie z. B. den Spurhalteassis- 


10 Die Gefahren- und Risikoanalyse wird im internationalen Sprachgebrauch als Hazard Analysis 
and Risk Assessment, kurz HARA, bezeichnet. 
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tenten [61]. 

Auch fiir andere beteiligte Systeme ergeben sich erweiterte Anforderungen. 
Zur Umsetzung der geforderten Absicherung sowie zur abschließenden Be- 
wertung müssen sowohl qualitative als auch quantitative Methoden eingesetzt 
werden. 

Zur Durchführung von qualitativen sowie quantitativen Analysen eignen sich 
verschiedene Methoden. Im Hinblick auf qualitative Analysen sind für die 
Zwecke der vorliegenden Arbeit die folgenden Methoden geeignet: 


e die Fehlermöglichkeits- und -einflussanalyse (FMEA) sowie 


e die Fehlerbaumanalyse (Fault Tree Analysis (FTA)). 


Fehlermöglichkeits- und -einflussanalyse (FMEA) 


Die Fehlermöglichkeits- und -einflussanalyse (FMEA) wurde im Jahr 1960 
von der NASA zur Absicherung der Apollo-Missionen entwickelt. Kurze Zeit 
später fand die FMEA auch in der Luft- und Raumfahrtindustrie Anwendung. 
Basierend auf den dort gesammelten Erkenntnissen wurde im Jahr 1974 die 
Militärnorm MIL-P-1629 [39] veröffentlicht. Anschließend wurden in den ver- 
schiedenen Industriebereichen und Unternehmen eine Vielzahl von Normun- 
gen zur Gestaltung und Durchführung der FMEA entwickelt. In der Elektroni- 
kindustrie gilt hierzu die Norm IEC 60812 [16]. Seit dem Jahr 1977 findet die 
FMEA auch in der Automobilindustrie Anwendung. Diesbezüglich wurde der 
Standard SAE J1739 entwickelt [153]. Eine allgemeine Übersicht zur FMEA, 
zu ihrer Durchführung sowie zu ihrer Anwendung in unterschiedlichen Be- 
reichen liefert [15]. Darüber hinaus existieren herstellerspezifische Fassungen 
wie z.B. [51]. 

In der Vergangenheit kam es zu verschiedenen Erweiterungen der FMEA. 
Der Grund hierfür ist, dass die Erfassung einzelner Fehler aufgrund der stetig 
zunehmenden Komplexität einzelner Komponenten und somit auch der Ge- 
samtsysteme nur noch bedingt möglich ist. Auch die Überprüfung von Fehlern 
ist teilweise nur bei deren Bekanntheit möglich. Um dieser Problematik zu be- 
gegnen, werden Basisfehler von bekannten Komponentenfehlern genutzt und 
z. B. auf der Basis der Fuzzy-Logik miteinander kombiniert. Auf der Basis der 
daraus entstehenden Kombinationen werden die Eintrittswahrscheinlichkeiten 
kritischer Fehlerkombinationen ermittelt. Liu hat in [95] 75 Veröffentlichun- 
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gen zum Thema Erweiterungen der FMEA auf der Grundlage der Fuzzy-Logik 
aus dem Zeitraum zwischen 1992 und 2012 untersucht und die wesentlichen 
Aspekte der einzelnen Erweiterungen zusammengefasst. Wie dabei gezeigt 
werden konnte, wurde die klassische FMEA in den letzten Jahren zunehmend 
mit der Fuzzy-Logik kombiniert, um die Eintrittswahrscheinlichkeiten ggf. 
kritischer Fehlerkombinationen erfassen zu können. 

Auch die Automobilindustrie setzt in der Entwicklung auf eine erweiterte 
FMEA. Meist wird eine auf fünf oder sechs Schritten basierende FMEA ein- 
gesetzt [126]. Beide FMEAs lassen sich zwei übergeordneten Kategorien zu- 
ordnen: 


1. der Systemanalyse sowie 
2. der Fehleranalyse und Risikominderung. 
Die Systemanalyse beinhaltet die Schritte 1 bis 3. Diese sind 
1. die Planung, 
2. die Strukturanalyse und 
3. die Funktionsanalyse. 


Die Fehleranalyse und Risikominderung beinhalten die Schritte 4 bis 6. Diese 
sind 


4. die Fehleranalyse, 
5. die Risikoanalyse und, ergänzend bei sechs Schritten, 
6. die Optimierung. 


Jede FMEA beginnt mit der Eingrenzung der Problemstellung. Hierbei ist zu- 
nächst eine Definition der Systemgrenzen erforderlich, um eine strukturelle 
Analyse zu ermöglichen. Beispielsweise wird der Betrachtungsumfang auf die 
kleinste Komponente begrenzt und es werden die Funktionen sowie Fehlfunk- 
tionen definiert. Basierend darauf muss im nächsten Schritt bewertet werden, 
welche Folgen bestimmte Fehlfunktionen für die betroffenen Komponenten 
selbst und das Gesamtsystem haben. Anschließend wird abgeleitet, inwieweit 
die zu untersuchenden Einzelfehler einen Zustand der Gefährdung verursa- 
chen. Je nach Eintretenswahrscheinlichkeit des fraglichen Ereignisses und der 
zuvor eingeschätzten Gefährdung wird eine Gegenmaßnahme zur Vermeidung 
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bzw. Verhinderung des Fehlers definiert. Dazu kann auch die Erweiterung bzw. 
Anpassung der Architektur gehören. 


Fehlerbaumanalyse und Boolesche Algebra 


Bereits im Jahr 1950 wurden die ersten Fehler- und Wirkungsanalysen anhand 
von Fehlerbaumstrukturen durchgeführt. Die eigentliche Fehlerbaumanalyse 
wurde aber erst im Jahr 1961 von H. A. Watson der Bell Laboratories entwi- 
ckelt, indem er die Boolesche Algebra mit der Zuverlässigkeitstheorie kombi- 
nierte. Seitdem wird die Fehlerbaumanalyse in allen technischen Disziplinen 
zum Ableiten von Anforderung an Systeme sowie zur Berechnung von Fehler- 
wahrscheinlichkeiten eingesetzt. 

Die Fehlerbaumanalyse ist eine deduktive Methode zur Systemanalyse und 
somit ein Top-Down-Verfahren. Unter Anwendung der Booleschen Algebra 
eignet sie sich auch für die Durchführung quantitativer Analysen, vor allem 
für exponentiell verteilte Fehler mit konstanter Ausfallrate als Eingangsgröße. 
Für zeitabhängige Ausfallraten A(t) bzw. h(t) sowie für die Abbildung von 
Reparaturprozessen wird hingegen die Markov-Analyse angewendet. Sowohl 
bei der Fehlerbaumanalyse als auch bei der Markov-Analyse erfolgt der Be- 
rechnungsprozess bei nicht konstanten Ausfallraten iterativ. Die Ermittlung 
der allgemeinen Fehleranfälligkeit eines Systems ist zwar nicht bzw. nur durch 
mehrfache Berechnungsiterationen möglich. Dennoch bietet die Fehlerbaum- 
analyse wesentliche Vorteile. Zu nennen ist hier insbesondere die Möglichkeit 
zur graphischen Aufbereitung von Ereignissen, was eine einfache und logische 
Modellierung ermöglicht. Aufgrund dieser Vorteile stellt die Fehlerbaumana- 
lyse eine der am häufigsten verwendeten Methoden in der qualitativen sowie 
quantitativen Analyse von technischen Systemen dar. Die Fehlerbaumanalyse 
wird in der DIN EN 61025 [13] detailliert beschrieben. 

In Abbildung 2.16 ist beispielhaft ein Fehlerbaum mit den wesentlichen bzw. 
am häufigsten verwendeten Elementen dargestellt. Die hier dargestellte Gliede- 
rung in drei aufeinander aufbauende Ebenen lässt sich nur bei sehr einfachen 
Fehlerbäumen realisieren. Die oberste Ebene der Hauptereignisse ist dabei 
immer das resultierende Ereignis, z. B. der Ausfall der elektrischen Energie- 
versorgung. Die Elemente darunter stellen eine Verknüpfung der jeweiligen 
Fehlerereignisse dar und können deshalb je nach Modellierungsgrad in unter- 
schiedlicher Reihenfolge auftreten. 

In dem hier dargestellten Fehlerbaum befinden sich alle Fehlerereignisse auf 
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Hauptereignis 


Verknüpfungsebene 


Basisereignisse © 


Abbildung 2.16: Exemplarische Darstellung eines Fehlerbaums mit UND- sowie ODER-Element 
und drei Basisereignissen 


einer Ebene. Wie bereits erwähnt, können aber auch in den oberen Ebenen 
Basiselemente erforderlich sein. Dies hängt davon ab, welche Sub-Modelle 
genutzt werden. So ist bspw. der Fehlerbaum für den Generator in Abschnitt 
5.3.5 aus mehreren Elementen (Mechanik, Elektrik bzw. Elektronik) aufge- 
baut. Dabei sind die einzelnen Teilsysteme wie z. B. die Gleichrichtung auf der 
Grundlage der jeweiligen Bauelemente modelliert. Die Hauptereignisse der 
Teilfehlerbäume - z. B. der offene, kurzgeschlossene oder degradierte Ausfall 
des Generators — werden anschließend in den übergeordneten Fehlerbaum der 
elektrischen Energieversorgung integriert. Auf diese Weise sind ein modularer 
Aufbau des Fehlerbaums und eine unabhängige Fehlerbaumpflege möglich. 
Unter der Grundannahme, dass alle Basisereignisse!! voneinander unabhängig 
sind, eignet sich die Fehlerbaumanalyse durch die Wahl logischer Verknüp- 
fungselemente besonders gut zur Modellierung von Wahrscheinlichkeitsereig- 
nissen. Fehler mit gemeinsamer Eintrittsursache müssen hingegen als CCF 
modelliert werden, da die Eintrittswahrscheinlichkeit andernfalls unterschätzt 
wird. 

Auf der Basis der Booleschen Algebra und unter Berücksichtigung der Wahr- 
scheinlichkeiten für Fehler der Basisereignisse P(A) und P(B) berechnet sich 
die resultierende Wahrscheinlichkeit für den gleichzeitigen Eintritt beider Er- 
eignisse im Sinne einer UND-Verknüpfung zu 


P(ANB) = P(A) - P(B). (2.32) 


'l Als Basisereignis wird das unterste Element eines Fehlerbaums verstanden. Es kann die Wahr- 
scheinlichkeit fiir einen einzelnen Fehler oder fiir die Kombination mehrerer Fehler beinhalten. 
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Die ODER-Verkniipfung berechnet sich bei gleichen Basiswahrscheinlichkei- 
ten zu 


P(AU B) = P(A) + P(B) - P(ANB). (2.33) 


Auf der Grundlage dieser beiden Verkniipfungsarten lässt sich eine Vielzahl 
von komplexen Fehlerstrukturen abbilden. Darüber hinaus existieren jedoch 
noch weitere Verknüpfungselemente. Zu nennen wären hier bspw. das inver- 
tierende Element, welches die Eingangsgröße zu Pour = 1 - Pin invertiert, 
oder die Exklusiv-Oder-Verknüpfung, welche definiert ist zu 


P(AVB) = P(A) + P(B) -2 - P(ANB). (2.34) 


Im Rahmen der vorliegenden Arbeit wurden fiir die verschiedenen untersuch- 
ten Komponenten der elektrischen Energieversorgung mehrere Fehlerbäume 
erstellt. Auf der Basis dieser Fehlerbäume wurden anschließend die Eintritts- 
wahrscheinlichkeiten für die einzelnen zu untersuchenden Ereignisse berech- 
net, z. B. für den Ausfall der elektrischen Energieversorgung (vgl. hierfür 
Kapitel 5). 
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2.5 Handbücher zur Berechnung der Ausfallrate 


Für die quantitative Bewertung der Zuverlässigkeit ist relevant, wie häufig ein 
kritischer Fehler auftritt. Grundsätzlich können Fehler in allen Komponenten 
auftreten und dadurch zum Ausfall des Gesamtsystems führen. Im Fall von 
hochautomatisierten Assistenzsystemen muss insbesondere aber bekannt sein, 
mit welcher Wahrscheinlichkeit einzelne Bauteile in der elektrischen Energie- 
versorgung sicherheitsrelevanter Verbraucher ausfallen. Denn ein Ausfall der 
elektrischen Energieversorgung kann besonders kritische Folgen haben. 

In der vorliegenden Arbeit wird daher die Zuverlässigkeit verschiedener elektri- 
scher Energieversorgungsarchitekturen untersucht, genauer gesagt der Teilsys- 
teme Energiespeicher, Energiewandlung und Vernetzung. Für jedes Teilsystem 
wird dabei analysiert, welche Fehler mit welcher Häufigkeit auftreten und wel- 
che Auswirkungen diese haben. Im Fokus der Untersuchungen steht dabei ein 
Zuverlassigkeitsmodell'? für 12V-Blei-Säure-Batterien. Dieses Modell wurde 
basierend auf Felddaten aus Werkstattaufzeichnungen der AUDI AG entwickelt 
und ermöglicht es, die Ausfallraten für konstante sowie für verschleißbedingte 
Fehler in Blei-Säure-Batterien abzuleiten. 

Zum Zwecke der Ermittlung der Ausfallwahrscheinlichkeiten weiterer Elek- 
tronikkomponenten der elektrischen Energieversorgung wie z. B. dem Gleich- 
spannungswandler stehen in der Literatur nur bedingt Felddaten zur Verfügung. 
Da es allerdings auch nicht möglich ist, Stichproben zu nehmen, weil in der 
Vorentwicklung nur Prototypen untersucht werden, wird zur Berechnung der 
Ausfallraten stattdessen auf Handbücher bzw. auf Zuverlässigkeitsstandards 
aus der Literatur zurückgegriffen. Die wesentlichen Handbücher, in denen 
sich Ausfallwahrscheinlichkeiten für diverse Bauelemente finden, sind — ohne 
Anspruch auf Vollständigkeit — in Tabelle 2.2 aufgelistet. In der Automobilin- 
dustrie wird für die Berechnung von Ausfallraten vor allem die Siemens-Norm 
SN29500 [151] herangezogen. Mit zunehmender Komplexität der Systeme 
kann die SN29500 allerdings nur noch teilweise genutzt werden, da dann die 
Berücksichtigung aller Komponenten erforderlich ist und die SN29500 nicht 
alle Komponenten beinhaltet. Daher werden im Rahmen der vorliegenden 
Arbeit die folgenden weiteren Handbücher zur Berechnung von Ausfallraten 
herangezogen: für mechanische Komponenten das NSWC-Handbuch [111] 


12 Eine umfassende Beschreibung dieses Zuverlässigkeitsmodells findet sich in Unterkapitel 5.2. 
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Handbuch Komponenten Anwendung Jahr 
FIDES Elektronisch | Luft- und Raumfahrt | 2009 
HDBK-217Plus Elektronisch | Luft- und Raumfahrt | 2015 
IEC-TR-62380 Elektronisch | Luft- und Raumfahrt | 2006 


MIL-HDBK-217 |Elektronisch |Militärisch 1990 
NSWC-Handbuch | Mechanisch Militärisch 2011 
Siemens SN29500 | Elektronisch Automotive 1996 


Telcordia SR-332 | Elektronisch Telekommunikation | 2001 


Tabelle 2.2: Zuverlässigkeitshandbücher bzw. Zuverlässigkeitsstandards zur Berechnung der Aus- 
fallraten von verschiedenen mechanischen und elektronischen Bauelementen 


sowie für elektronische Komponenten die Handbücher FIDES [48], HDBK- 
217Plus [130] und IEC-TR-62380 [12]. 


2.5.1 Berechnungsmethode und Beschleunigungsmodelle 


Jedes der oben genannten Handbücher liefert Modelle und Basisparameter zur 
Berechnung der Ausfallraten bestimmter Bauelemente. Die Berechnung der 
Ausfallraten erfolgt dabei auf der Grundlage der Parts-Stress-Methode. Bei 
dieser Methode wird die Ausfallrate über das Produkt der Referenzausfallra- 
te A, und der Belastungs- bzw. Stressfaktoren 7, gebildet: 


A= Aref AI: M+... An. (2.35) 


Die Referenzausfallrate A,.y ist eine konstante Größe. Ihr Wert für die jewei- 
ligen Bauelemente wird in den entsprechenden Handbüchern bereitgestellt. 
Als Belastungs- bzw. Stressfaktoren werden in Abhängigkeit vom jeweiligen 
Zuverlässigkeitsstandard physikalische und managementtechnische Parameter 
berücksichtigt. Letztere finden vor allem in FIDES verstärkt Anwendung und 
bilden die Reife des Herstellers, der genutzten Prozesse etc. ab. 

Zur Berücksichtigung der Belastungsabhängigkeit der verschiedenen Ausfall- 
raten werden physikalische Beschleunigungsmodelle sowie Modelle für phy- 
sikalische Fehlermechanismen genutzt. Die für die Zwecke der vorliegenden 
Arbeit wesentlichen Modelle finden sich in [176], [8], [42] und [52]. Es handelt 
sich dabei um 


58 


2.5 Handbücher zur Berechnung der Ausfallrate 


das Arrhenius-Modell, welches zur Berücksichtigung von Fehlermecha- 
nismen angewendet wird, die auf thermischem Stress beruhen; 


das Eyring-Modell, welches ebenfalls die thermische Belastung be- 
schreibt, unter Hinzufügung zusätzlicher Faktoren jedoch auch für 
Stressbelastungen verwendet wird, die durch elektrische Spannung und 
Luftfeuchtigkeit verursacht werden; 


das Korrosions-Modell, welches Fehlermechanismen auf der Basis der 
Korrosion abbildet; 


das Black-Modell für Fehler, die durch Elektromigration verursacht wer- 
den; 


das HCI-Modell, mittels dessen die Injektion heißer Ladungsträger be- 
schrieben wird, die häufig bei Mosfets zu beobachten ist; 


das Coffin-Manson-Modell, welches den Beschleunigungsfaktor für 
Fehler beschreibt, die durch thermische Ermüdung verursacht werden; 


den zeitabhängigen dielektrischen Durchbruch (TDDB), welcher span- 
nungsinduzierte Defekte für CMOS-Bauelemente beschreibt; und 


die NBTI, welche im Wesentlichen P-Mosfets betrifft und sich auf die 
Störung der Drain-Region bezieht. 


Die für die Zwecke der vorliegenden Arbeit relevantesten und von den Hand- 
büchern überwiegend genutzten Beschleunigungsfaktoren beziehen sich auf 
das Arrhenius- und das Eyring-Modell. 


Arrhenius-Modell 


Das Arrhenius-Modell ist aus Beschreibungen der Reaktionsgeschwindigkei- 
ten chemischer Prozesse bekannt. In der Zuverlässigkeitstheorie stellt das Be- 
lastungsmodell nach Arrhenius den Zusammenhang zwischen der absoluten 
Temperatur und der zu erwartenden Lebensdauer einer gegebenen Komponente 
her. Der Temperaturbelastungsfaktor ist dabei definiert zu 


(2.36) 
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Hierbei sind A der Skalierungsfaktor, E, die Aktivierungsenergie, k die 
Boltzmann-Konstante, T; die Referenz- und T die Betriebstemperatur. 


Das Eyring-Modell 


Das Eyring-Modell dient grundsätzlich ebenfalls zur Beschreibung der ther- 
mischen Belastung. Es wird jedoch auch genutzt, um die Ausfallrate in Ab- 
hängigkeit von der Betriebsspannung bzw. der Luftfeuchtigkeit zu berechnen. 
Dabei ist das Eyring-Modell für die Temperaturbelastung definiert zu 


Ea c 
Wp =A-T?- ok rt (BF 


|s, (2.37) 
Hierbei sind A, a, B und C Skalierungsfaktoren. E4 ist die Aktivierungsenergie, 
k die Boltzmann-Konstante, T die Temperatur und S der jeweilige Stressfaktor. 
Auf die elektrische Spannung bezogen gilt: 


Ea 
ly =A-ekT VP, (2.38) 


Zur Berücksichtigung der Luftfeuchtigkeit kann Gleichung 2.37 angegeben 
werden als 


AH 
Iru =A- eFT VP. RH. (2.39) 


In Kapitel 5 werden die im Hinblick auf die elektrische Energieversorgung 
wesentlichen Komponenten für die Berechnung der Zuverlässigkeit analysiert. 
Hierzu werden auf der Grundlage der in diesem Unterkapitel vorgestellten 
Ausfallratenmodelle und Handbücher die Zuverlässigkeiten der in Unterkapi- 
tel 5.2 behandelten Blei-Säure-Batterien, des in Unterkapitel 5.3 behandelten 
Generators und des in Unterkapitel 5.4 behandelten Gleichspannungswandlers 
hergeleitet und diskutiert. 
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Um schneller mit neuen Produkteigenschaften in den Markt eintreten zu kön- 
nen, wird die Entwicklungszeit in der Automobilindustrie zunehmend ver- 
kürzt [75]. Im Kontext hochautomatisierter bzw. autonomer Assistenzsysteme 
gelten dabei im Hinblick auf alle Domänen im Kraftfahrzeug erhöhte An- 
forderungen an die Zuverlässigkeit. Aus den in den folgenden Unterkapiteln 
erläuterten Gründen ist die Zuverlässigkeit der elektrischen Energieversorgung 
für hochautomatisierte Funktionen dabei von besonderer Relevanz, da sicher- 
gestellt werden muss, dass die einschlägigen Komponenten auch im Fehlerfall 
mit Energie versorgt werden und ihre Funktion weiterhin erfüllen können, also 
fail-operational sind. 

In diesem Kapitel wird zunächst die Bewertung der Zuverlässigkeit im Serien- 
prozess nach ISO 26262 vorgestellt. Danach werden bereits bekannte Methoden 
zur Bewertung der Zuverlässigkeit im Kontext der elektrischen Energieversor- 
gung in Kraftfahrzeugen diskutiert. Auf der Grundlage der hierbei gewonnenen 
Erkenntnisse wird anschließend eine Methode zur Bewertung der Zuverlässig- 
keit in der automobilen Vorentwicklung erarbeitet. Das Kapitel schließt mit 
der Beschreibung und Erläuterung dieser Methode. 


3.1 Standard ISO 26262 


Für die Entwicklung und Herstellung funktional sicherer technischer Produkte 
müssen eine Vielzahl von Anforderungen zur Sicherstellung der Produktsicher- 
heit und zur Gewährleistung des Sicherheitslebenszyklus erfüllt werden. Als 
normative Basis für die Beurteilung dieser Sicherheitsanforderungen gilt die 
internationale Norm IEC 61508 — Funktionale Sicherheit sicherheitsbezoge- 
ner elektrischer/elektronischer/programmierbar elektronischer Systeme — [14], 
welche allgemeine Methoden und Maßnahmen zur qualitativen und quantita- 
tiven Bewertung der funktionalen Sicherheit elektrischer bzw. elektronischer 
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Systeme liefert. 
Nach [14] ist der Sicherheitslebenszyklus in 16 Phasen untergliedert. Die we- 
sentlichen Phasen sind hierbei 


1. die Konzeptphase (1), 

2. die Gefährdungs- und Risikoanalyse (3), 
3. die Realisierung (10) und 

4. die Validierung (13). 


Auf der Grundlage der IEC 61508 wurde anwendungsspezifisch für den Auto- 
mobilsektor (Kraftfahrzeuge bis 3,5t) die ISO 26262 Road Vehicles Functional 
Safety [68] abgeleitet. Die ISO 26262 bildet in der Serienentwicklung die Basis 
für den Sicherheitslebenszyklus zur Erfüllung und zum Nachweis des funktio- 
nalen Sicherheitskonzepts. Sie umfasst den gesamten Serienentwicklungspro- 
zess für Elektrik- und Elektronik-Systeme (EES), wobei im Mittelpunkt der 
Prozess nach dem V-Modell steht. Die wesentlichen Inhalte der ISO 26262 
sind in Abbildung 3.1 dargestellt. Insgesamt ist die ISO 26262 in zehn Be- 
reiche aufgeteilt: In Teil 1 werden die in der Norm genutzten Begriffe und 
Abkürzungen definiert. In den Teilen 2 bis 7 wird der Serieneinsatz — im We- 
sentlichen die Feldüberwachung - geregelt, wobei insbesondere die für den Si- 
cherheitslebenszyklus relevanten Entwicklungsschritte von EE-Systemen de- 
finiert werden. Die Teile 5 bis 8 enthalten die Grundlagen für die Zuverlässig- 
keitsbewertung im Serienprozess. In Teil 9 geht es um ASIL-orientierte und 
sicherheitsorientierte Analysen, während Teil 10 einen Leitfaden für die Be- 
nutzung der ISO 26262 darstellt. Für das Verständnis des weiteren Verlaufs der 
vorliegenden Arbeit ist es nützlich, eine detailliertere Betrachtung der Teile 2 
bis 8 vorzunehmen: 

Nach der Definition der einschlägigen Begriffe und Abkürzungen in Teil 1 
werden in Teil 2 der ISO 26262 management- und prozessspezifische Schwer- 
punkte in Bezug auf die funktional sichere Entwicklung gesetzt. Der Fokus liegt 
dabei auf der unabhängigen Aufteilung des Sicherheitslebenszyklus innerhalb 
der Organisation, also auf der Definition von Rollen und unterschiedlichen Per- 
sonen, der Aufteilung von Verantwortlichkeiten, einer klaren Strukturierung 
von der Systementwicklung bis hin zur Produktvalidierung etc. Des Weiteren 
wird definiert, welche Sicherheitsnachweise während der Entwicklung zu er- 
bringen sind. 

Die Zielsetzung von Teil 3 besteht in der Definition eines funktionalen Si- 


62 


3.1 Standard ISO 26262 


1. Vocabulary 


2. Management of functional safety 


2-5 Overall safety management 2-6 Saftey management during the concept phase and the 2-7 Saftey management after the item’s 
product development release for production 
3. Concept phase 4. Product development at the system level 7. Production and operation 
3-5 Item definition 4-5 Initiation of product development 4-11 Release of Production 7-5 Production 


at the system evel 
3-6 Initiation of the safet; n 7-6 Operation, service (main- 
en aa: 4-10 Functional saftey assessment p ( 


lifecycle 4-6 Specification of the technical tenance and repair) and 
safety requirements decommissioning 

3-7 Hazard analysis and risk 4-9 Safety validation 

assessment 4-7 System design 


4-8 Item integration and testing 


3-8 Functional saftey concept 


5. Product, development 6. Product development 
at the hardware level at the software level 


5-5 Initiation of product development} | 6-5 Initiation of product ddevelop- 
at the hardware level ment at the software level 


5-6 Specification of hardware safety 6-6 Specification of software safety 


requirements requirements 

5-7 Hardware design 6-7 Software architectural design 
5-8 Evaluation of the hardware 6-8 Software unit design and imple- 
architectual metrics mentation 

5-9 Evaluation of the saftey goal 6-9 Software unit testing 

violations due to random hardware 

failure 


6-10 Software integration and testing 


5-10 Hardware. integration and 6-11 Verification of software safety 


esine requirements 
8. Supporting process 
9. ASIL-oriented and saftey-oriented analyses 
9-5 Requirements decomposition with 9-6 Criteria of coexistence of 9-7 Analysis of dependent failure 9-8 Safety analyses 
respect to ASIL tailoring elements 


10. _ Guideline on __IS026262 


Abbildung 3.1: Inhaltsübersicht der ISO 26262, in Anlehnung an die Darstellung von [68]; De- 
tailangaben für Teil 8 der ISO sind hier nicht dargestellt. 


cherheitskonzepts. Zu Beginn werden die wesentlichen Abhängigkeiten und 
Wechselwirkungen der Komponenten mit dem Fahrzeugsystem erörtert. Be- 
züglich der anschließenden Initialisierung des Sicherheitslebenszyklus wird 
zwischen der Entwicklung neuer und der Veränderung bereits bestehender 
Komponenten unterschieden. Je nach Umfang der Veränderungen kann dabei 
ggf. eine Proven-in-Use-Argumentation angewendet werden, welche auf der 
Auswertung von Felddaten aufbaut und in der damit argumentiert wird, dass 
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eine Komponente hinreichend selten fehlerhaft wird, sodass durch den Nach- 
weis aus dem Feld die Zuverlässigkeit bestätigt werden kann [145]. Handelt 
es sich um eine umfangreiche Änderung oder sogar um die Neuentwicklung 
einer Komponente, folgt eine Gefahren- und Risikoanalyse (GuR). Im Rahmen 
dieser werden die Fehlfunktionen der wesentlichen Fahrzeugsysteme mittels 
drei Hauptkategorien und je einer zugehörigen Unterkategorie bewertet. Diese 
sind 


e die Fehlerauswirkung (classes of severity), 


die von „keine Verletzungen (SO)* bis „lebensbedrohliche Verletzungen 
(S3)* reicht; 


e die Eintrittswahrscheinlichkeit (classes of probability of exposure), 


die von „unwahrscheinlich (E0)“ bis „hohe Wahrscheinlichkeit (E4)“ 
reicht; und 


e die Kontrollierbarkeit (classes of controllability), 


die von „grundsätzlich kontrollierbar (CO)“ bis „schwer oder nicht kontrol- 
lierbar (C3)“ reicht. 


Aus der GuR werden als Zielgrößen die Sicherheitsziele und damit das funk- 
tionale Sicherheitskonzept für die fraglichen Komponenten in ihrem jeweiligen 
Systemkontext abgeleitet. 

Teil 4 der ISO 26262 umfasst die Produktentwicklung auf Systemebene. Zu Be- 
ginn werden die technischen Sicherheitsanforderungen definiert. Darauf folgen 
die Ableitung der Systemspezifikationen sowie die Erstellung des Systemde- 
signs. Die Produktentwicklung auf Systemebene rahmt die Hauptdomänen 
Hardware- und Softwareentwicklung ein. Teil 4 der ISO 26262 beinhaltet in 
dieser Hinsicht die Endphasen des V-Modells und somit die Aspekte „Integra- 
tion der Domänen“ und „Sicherheitstests zur Freigabe“. 

In Teil 5 und 6 der ISO 26262 erfolgt der Entwicklungsprozess entlang je- 
weils eigener V-Modelle, wobei über das Hardware-Software-Interface (HSI) 
eine enge Verzahnung zwischen den beiden Hauptdomänen hergestellt wird. 
Während die Zielsetzung von Teil 5 in der Hardware-Integration und in der 
Durchführung von abschließenden Tests besteht, liegt das Hauptaugenmerk 
in Teil 6 auf der Zuverlässigkeitsbewertung der Software. Letztere stellt ein 
eigenes und umfangreiches Themenfeld dar, auf das an dieser Stelle nicht 
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näher eingegangen werden soll. Hilfreiche Informationen zu wesentlichen Un- 
tersuchungen bzw. Methoden können jedoch [132], [25] und [83] entnommen 
werden. 

In der Serienentwicklung wird das V-Modell iterativ, auf der Basis der jewei- 
ligen Musterstände, durchlaufen. Typischerweise beginnt die Entwicklung mit 
A-Mustern als einem ersten Prototypen für die Serienentwicklung, worauf B- 
und C-Muster folgen. Der Entwicklungsprozess wird mit dem letzten Muster- 
stand abgeschlossen, d. h., es wird die Serienfreigabe erteilt. 

In den nachfolgenden Teilen 5 bis 8 der ISO 26262 wird die Vorgehensweise 
bezüglich der Zuverlässigkeitsbewertung im Serienprozess erläutert und dis- 
kutiert. Da die dort vermittelten Inhalte für den weiteren Fortgang der hier 
anzustellenden Überlegungen von besonderer Relevanz sind, werden sie im 
folgenden Abschnitt detailliert betrachtet. 


3.1.1 Zuverlässigkeitsbewertung nach ISO 26262 


Ein funktional sicherer Entwicklungsprozess erfordert die Prüfung und den 
Nachweis der Einhaltung eines Sicherheitskonzepts. Die ISO 26262 gibt dies- 
bezüglich keinen spezifischen methodischen Ansatz vor, sondern verweist ge- 
nerell auf die in der Zuverlässigkeitstechnik verwendeten Methoden (für eine 
Übersicht über die gängigen qualitativen und quantitativen Methoden vgl. Ab- 
schnitt 2.4.2). 

In der Automobilindustrie werden als qualitative Methoden vor allem FMEAs 
sowie Fehlerbäume eingesetzt [168], [126], [51], [15], [169]. Letztere stellen 
die Grundlage für quantitative Bewertungsprozesse dar. Ein umfangreicher 
Vergleich zwischen den verschiedenen Bewertungsmethoden (FTA, Markov, 
Petri-Netz-Modell usw.) wurde in [1] erarbeitet. Abele beschreibt zusätzlich 
auch die Bewertung der Zuverlässigkeit der elektrischen Energieversorgung 
von Personenkraftwagen auf der Grundlage von Markov-Prozessen. 
Unabhängig von der gewählten Methode wird von der ISO 26262 als integralem 
Bestandteil der Zuverlässigkeitsbewertung die Berechnung von Fehlermetri- 
ken gefordert. Hierbei ist es wichtig, zunächst zwischen den verschiedenen 
Arten von Fehlern zu unterscheiden: 


e sichere Fehler As, 


e Einfachfehler Aspr bzw. Restfehler Arr 
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e Mehrfachfehler Au pr (auffindbar oder latent). 


Im nächsten Schritt werden auf der Grundlage der abgeleiteten und mittels 
Risikobewertung eingestuften Sicherheitsziele für die verschiedenen Fehler- 
arten Zielwerte definiert, die unterschritten bzw. eingehalten werden müssen. 
Maßgebend für die Metriken der ISO 26262 zur Bewertung der Zuverlässigkeit 
sind hierbei die Ausfallwahrscheinlichkeiten für die einzelnen Fehlerkatego- 
rien. Diese werden über eigene quantitative Auswertungen auf der Grundlage 
der jeweils vorliegenden Entwicklungsdaten (Schaltpläne, Bauteilinformatio- 
nen etc.) berechnet. Entscheidend ist dabei die Wahrscheinlichkeit für die 
Verletzung eines Sicherheitsziels. 

Auf der Basis der Ausfallwahrscheinlichkeiten werden im nächsten Schritt die 
Ausfallraten bestimmt. Die Ausfallrate A für sicherheitsrelevante Hardware- 
Elemente setzt sich aus den Ausfallraten für die oben genannten Fehlerarten 
zusammen: 


A=AsSpF+ARF+AMPF +As. (3.1) 


Dabei setzt sich Aypr aus der Ausfallrate der erkannten Mehrfachfeh- 
ler Awpr.pp und der Ausfallrate der latenten Fehler Au pr,ı zusammen: 


AMPF = AMPF,DP + AMPE,L- (3.2) 


Die Ausfallrate der Restfehler berechnet sich auf der Grundlage des Diagno- 
sedeckungsgrades (vgl. hierzu Abschnitt 2.3.2) zu 


K 

ARF < ÀRF,est =À' f - ae . (3.3) 
A es 

mit KDC,RF = (! - erst) - 100. (3.4) 


Hierbei sind Arr die geschätzte Ausfallrate in Bezug auf Restfehler und 
Kpc.rr der Diagnosedeckungsgrad in Prozent. 
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Die Fehlerrate in Bezug auf latente Fehler berechnet sich ebenfalls unter Be- 
rücksichtigung des Diagnosedeckungsgrades (vgl. hierfür Gleichung 3.6): 


Kpc,MPF,L 
AMPF,L S AMPF,L,est =A f = APSE | (3.5) 
L es. 
mit Kpc,MPF,L = I = Surenen) - 100. (3.6) 


Die angenommene Ausfallrate und der Diagnosedeckungsgrad in Bezug auf la- 
tente Fehler sind dabei Ay PF,L,est und Kpc,mpr,v- Die Metriken zur Bewer- 
tung der Zuverlässigkeit berechnen sich aus dem Verhältnis der Ausfallraten. 
Die Einfachfehlermetrik berechnet sich über 


È SR HW (spr + ARF) 


Mspr = | (3.7) 
Z sR Hw A 
= (Ampr +As) 
= CWE en (3.8) 
Z SR,HW A 
Die Metrik für latente Fehler wird berechnet mit 
DSR HW (Am PF, latent) 
Mmer = l- i (3.9) 
È sr yw (A-Aspr — ARF) 
2, AMPF,p,d+As 
_  Xsrnw dmpr.natAs) aa 


ŽSR HW (A —-ASPF- ARF) : 


Hierbei ist Ay pr,p,q die Ausfallrate für wahrgenommene bzw. entdeckte Feh- 
ler. 

Auf der Grundlage der so berechneten Metriken für Einfach- und Mehrfach- 
fehler wird der Nachweis der Einhaltung der Sicherheitsziele erbracht. In der 
ISO 26262 finden sich diesbezüglich die in Tabelle 3.1 angeführten Zielwerte. 
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Zielwerte ASIL-B | ASIL-C | ASIL-D 
Ausfallrate A < 107747! |< 1079 | < 10787! 
Einfachfehlermetrik Ayspr > 90% > 97% > 99% 
Mehrfachfehlermetrik Ayypr | 2 60% > 80% > 90% 


Tabelle 3.1: In der ISO 26262 empfohlene Werte für Ausfallwahrscheinlichkeiten sowie Gewich- 
tungen der Metriken für Einfach- und Mehrfachfehler 


3.1.2 Vorbedingungen für die Bewertung der 
Zuverlässigkeit 


Im vorigen Abschnitt wurde erörtert, wie auf der Grundlage von Fehlermetri- 
ken die Berechnung der quantitativen Zuverlässigkeit möglich ist, die ihrerseits 
als Beurteilungsmaßstab bei der Entwicklung funktional sicherer Komponen- 
ten dient. Um diese Berechnungen überhaupt durchführen zu können, ist es 
— wie nun gezeigt werden soll — jedoch erforderlich, umfangreiche Eingangs- 
informationen zu jedem Entwicklungsschritt einzuholen. Als Grundlage bzw. 
Quelle für diese Informationen dienen komponentenspezifische Lastenhefte, 
die von der Fahrzeugentwicklung abgestimmte Spezifikationen über die jewei- 
ligen Anforderungen enthalten und als Eingangsgrößen für die Komponenten- 
entwicklung dienen. Der Umfang und die Qualität dieser Informationen hängt 
von der Organisation zwischen den Fahrzeugherstellern und ihren Zulieferun- 
ternehmen ab. 

In Abbildung 3.2 sind die notwendigen Eingangsinformationen für die wesent- 
lichen Entwicklungsschritte dargestellt. Wie aus der Abbildung hervorgeht, 
muss ein Großteil der Anforderungen an die Komponenten sowie an die je- 
weiligen Randbedingungen bereits zum Zeitpunkt der Konzeptentwicklung 
bekannt sein. Die Anforderungen an die Komponenten müssen dabei, wie 
oben beschrieben, in Lastenheften spezifiziert werden, da sie einen Großteil 
der für die Bewertung notwendigen Informationen zur Verfügung stellen. Ohne 
diese Lastenhefte bzw. eine genauere Spezifikation der Komponenten ist keine 
Anwendung des Sicherheitslebenszyklus nach ISO 26262 möglich. 

Die bisherigen Ausführungen zusammenfassend lässt sich also sagen: Neben 
der angewendeten Methode sind für die Erstellung der Zuverlässigkeitsbewer- 
tung vor allem die zur Berechnung der Ausfallwahrscheinlichkeiten genutzten 
Ausfallraten wesentlich. Hierzu nennt die ISO 26262 als Datenquellen Gewähr- 


68 


3.2 Zuverlässigkeitsbewertung in der Vorentwicklung 


(a naaa ir 


M Caftuataantiuicll 


3. Konzeptphase 


r 


4. Systementwicklung 


5. Hardwareentwicklung 


= 


- Funktionskonzept 
- Betriebs- und Umwelteinflüsse 
- Rechtlicher Rahmen 


- Funktionsanalogie 


Intrinsische 


- Verhaltensmodell 


- Fehlerauswirkungen 


- Funktionsarchitektur 

- Sicherheitsziele 

- Funktionales Sicherheitskonzept 
- Integrations- und Testplanung 

- Technisches Sicherheitskonzept 
- Systemdesign-Spezifikation 


- HW- und SW-Schnittstellen (HSI) 


Intrinsische Fehler 


- Sicherheitsanforderungen 


- Eigenschaften der Sicherheits- 


mechanismen 
Extrinsische Fehler 
- Sicherheitsanforderungen 


- Eigenschaften der Sicherheits- 


mechanismen 


- Sicherheitsarchitektur 


- Teilsysteme der Komponente 


- Funktionsauswirkungen - Diagnose (VE) 


- Wechselwirkungen 


- Funktionsabhängigkeiten 


Extrinsische 


- Funktionale Partitionierung 


- Betriebsszenarien 


Abbildung 3.2: Zu erfüllende Anforderungen für die Durchführung einer Zuverlässigkeitsbewer- 
tung im Serienentwicklungsprozess nach ISO 26262 [68] 


leistungsdaten, Ausfallratenhandbücher und Expertenschätzungen. Die oben 
ausführlich erörterte Berechnung der Basisfehlerraten für sichere Fehler bzw. 
für Einfach- und Mehrfachfehler erfolgt über die aus Systemschaltplänen erar- 
beiteten Wirkmechanismen bzw. Wechselwirkungen und Fehlerauswirkungen. 
Hierbei ist ein hoher Detailgrad notwendig, da jedes Bauelement, dessen Aus- 
fall ein Sicherheitsziel verletzen würde, in der Bewertung Berücksichtigung 
finden muss. 


3.2 Zuverlässigkeitsbewertung in der 
Vorentwicklung 


In diesem Unterkapitel werden zunächst die Prozessschritte der Vorentwick- 
lung erläutert. Vor diesem Hintergrund werden die Probleme und Herausfor- 
derungen erörtert, die im Hinblick auf die Durchführung von Zuverlässigkeits- 
bewertungen in der Vorentwicklung zu bewältigen sind. Anschließend werden 
mögliche Lösungskonzepte diskutiert und es wird eine Methode zur Bewertung 
der Zuverlässigkeit in der Vorentwicklung abgeleitet. 
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3.2.1 Prozessschritte in der Vorentwicklung 


Die Vorentwicklungsphase ist ein Teil des Produktentstehungsprozess (PEP) 
in der Automobilindustrie. Sie dient zur Entwicklung neuer Lösungsansätze 
sowie zur möglichst frühzeitigen Klärung der Frage, welche dieser Lösungs- 
ansätze in der Serienentwicklung realisiert werden können [137]. Während es 
in der Serienentwicklung um die iterative Produktoptimierung und die Inte- 
gration von neuen Komponenten in das Gesamtfahrzeug bis zur Produktfrei- 
gabe geht, besteht die Zielstellung in der Vorentwicklung darin, eine Entschei- 
dungsgrundlage für den Beginn einer Serienentwicklung nach PEP zu liefern. 
Dementsprechend sind die wesentlichen Aktivitäten in der Vorentwicklung 


e die Ideenfindung, 
e die Produktdefinition und 


e die Projektevaluierung. 


Die Vorentwicklung ist organisatorisch von der Serienentwicklung entkoppelt 
und besitzt eine eigene Struktur. Im Gegensatz zur Serienentwicklung sollen in 
der Vorentwicklung mögliche Konzepte aus der Forschung im Systemkontext 
bewertet werden. Zudem sollen Spezifikationen der Komponenteneigenschaf- 
ten entwickelt sowie Anforderungen an neue Komponenten bzw. Modifika- 
tionen von Anforderungen an bestehende Komponenten abgeleitet werden. In 
Abbildung 3.3 ist das V-Modell der Produktentwicklung nach [170] mit dem 
an die Vorentwicklung angepassten V-Modell dargestellt. In der Serienent- 
wicklung soll die Produktentwicklung innerhalb eines Zeitraums von drei bis 
fünf Jahren abgeschlossen werden. Diese Frist kann nur eingehalten werden, 
wenn bereits zu Beginn der Serienentwicklung umfangreiche und genau spe- 
zifizierte Anforderungen vorliegen. Um diese Anforderungen zu erarbeiten, 
werden Vorentwicklungsprojekte und Studien initiiert, in denen eine frühzeiti- 
ge Untersuchung der Frage vorgenommen wird, welche wesentlichen Abhän- 
gigkeiten bzw. Wechselwirkungen zwischen den verschiedenen Komponenten 
des Systems bestehen [75]. Folgend sind die wesentlichen Prozessschritte der 
Vorentwicklung nach [178] zusammengefasst: 


1. Identifikation des technologischen Potentials 


2. Generierung und Bewertung der technischen Ideen 
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Abbildung 3.3: Wechselwirkungen und Abhängigkeiten zwischen Vor- und Serienentwicklung 
innerhalb des Entwicklungsprozesses auf der Grundlage des V-Modells nach [170] 
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Direkter Austausch mit Serienabteilungen 


Die Hauptziele der Vorentwicklung sind im Wesentlichen der Funktionsnach- 
weis sowie eine erste wirtschaftliche Einschätzung. Unabhängig davon, ob 
es um eine neue Funktion, eine neue Komponente oder ein neues System 
geht, müssen die sich ergebenden Problem- und Fragestellungen identifiziert 
und gelöst bzw. beantwortet werden, um neue Ideen realisieren zu können. 
Zur Verifizierung der entsprechend aufgestellten Hypothesen werden im Zu- 
ge der Vorentwicklung prototypische Systeme aufgebaut. Zusätzlich werden 
im Hinblick auf die fahrzeugspezifische Umgebung essentielle Anforderungen 
erarbeitet. Diese dienen als wesentliche Eingangsgrößen für die Serienent- 
wicklung, entweder zur Änderung bestehender oder zur Entwicklung neuer 
Komponenten. 
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3.2.2 Diskussion der Zuverlässigkeitsbewertung in der 
Vorentwicklung nach aktuellem Stand 


Wie in den vorigen Unterkapiteln und Abschnitten geschildert, erfolgt die 
Zuverlässigkeitsbewertung in der Serienentwicklung auf der Grundlage der 
ISO 26262. In der Vorentwicklung kann diese Norm aufgrund der deutlich 
geringeren Anforderungstiefe sowie aufgrund abweichender Zielsetzungen je- 
doch nur bedingt angewendet werden. Zusätzlich existiert für die Automobil- 
industrie und insbesondere für die Komponenten der elektrischen Energiever- 
sorgung kein eigener Standard für Ausfallraten bzw. zur Komponentenzuver- 
lässigkeit. Darüber hinaus wird eine umfassende Zuverlässigkeitsbewertung 
dadurch erschwert, dass die dafür erforderlichen Daten über eine lange Zeit 
hinweg und mit einer hohen Erfassungsrate aufgenommen werden müssen, 
da jede Veränderung in den Bauteil- und damit Steuergeräteparametern die 
Zuverlässigkeit negativ beeinflussen kann. Über lange Beobachtungszeiträu- 
me hinweg hohe Erfassungsraten aufrechtzuerhalten, ist jedoch nicht nur mit 
hohem Aufwand und entsprechenden Kosten verbunden, sondern in der Praxis 
auch deshalb nahezu unmöglich, weil eine Untersuchung der fraglichen Kom- 
ponenten bzw. ein Zugang zu den dabei erfassten Daten in verlässlicher und 
umfassender Weise nur über Vertragswerkstätten möglich ist. Viele Kunden 
wechseln nach Ablauf der Garantie aber zu freien Werkstätten. Die daraus resul- 
tierende Datenlücke ist nur schwer zu kompensieren. Hinzu kommt, dass viele 
Komponenten, die im Automotive-Bereich zum Einsatz kommen, hinsichtlich 
ihrer Zuverlässigkeit in der Literatur nicht ausreichend beschrieben werden. 
Auch Komponenten, die bereits seit längerem in Serienproduktion sind, wur- 
den hinsichtlich ihrer Zuverlässigkeit bisher nur unzureichend untersucht. Der 
Mangel an entsprechenden Informationen ist darauf zurückzuführen, dass vie- 
le Komponenten keine Sicherheitseinstufung erhalten. Für einen Großteil der 
Verbraucher gelten somit Qualitätsmanagement (QM)-Anforderungen, wes- 
halb diese Verbraucher auch als QM-Verbraucher bezeichnet, eingestuft und 
nach entsprechenden Qualitätsansprüchen entwickelt werden. Fehler können 
dementsprechend in großer Häufigkeit auftreten, werden jedoch nicht aufge- 
zeichnet bzw. dokumentiert. Vor dem Hintergrund dieses Mangels an Daten 
und der sich daraus ergebenden Probleme sollen im Folgenden mögliche Quel- 
len für die Entwicklung einer Methode vorgestellt und diskutiert werden, um 
die soeben beschriebenen Lücken zumindest teilweise zu schließen. Zu die- 
sem Zweck soll zunächst ein näherer Blick auf die Unterschiede zwischen der 
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Serien- und der Vorentwicklung geworfen werden, um die sich daraus erge- 
benden Einschränkungen bei der Umsetzung von Zuverlässigkeitsbewertungen 
in der Vorentwicklung herauszuarbeiten. Wie sich zeigen wird, ist es wesent- 
lich, nicht nur die Ausfallhäufigkeiten für jede Komponente, sondern auch 
die entsprechenden Fehlerarten bzw. die Verteilungen der ursächlichen Feh- 
lerarten zu identifizieren. Hierfür werden Unterschiede der Fehlerverteilungen 
ausgewertet und fehlende Zuverlässigkeitsmodelle aus Feld- und Handbuch- 
daten erstellt. Das Unterkapitel schließt mit der Beschreibung und Diskussion 
fehlender Zuverlässigkeitsmodelle für Energiespeicher im Kraftfahrzeug. 


Einschränkungen der ISO 26262 


Beim direkten Vergleich zwischen Serien- und Vorentwicklung zeigen sich 
wesentliche Unterschiede. Die in der Vorentwicklung untersuchten Kompo- 
nenten dienen in erster Linie dem Funktionsnachweis und weisen daher einen 
prototypischen Charakter auf. Anders als in der Serienentwicklung stehen in 
der Vorentwicklung Informationen dementsprechend nur mit einem eher ge- 
ringen Detaillierungsgrad zur Verfügung. Da in der Vorentwicklung primär 
auf Funktionserfüllung und nicht auf Absicherung abgezielt wird, lassen sich 
keine Fehleranalysen mit hohem Detailgrad durchführen. Nicht zuletzt auch 
aufgrund des limitierten Kosten- und Zeitrahmens ist in der Vorentwicklung 
somit keine vollumfängliche, funktional sichere Entwicklung und Zuverlässig- 
keitsbewertung nach ISO 26262 darstellbar. 

Die Elektronik-Hardware beispielsweise wird primär mit Blick auf die Funk- 
tionserfüllung entwickelt; ein Absicherungskonzept hinsichtlich der Zuverläs- 
sigkeit existiert nur in Grundzügen. Auch auf der Basis von Vorentwicklungs- 
schaltplänen können keine inhaltlich korrekten Berechnungen von Hardware- 
Metriken erstellt werden. Mit Blick auf die Software verhält es sich nicht 
anders. Hinzu kommt, dass in der Vorentwicklung nicht auf die Verwendung 
von Bauelementen geachtet wird, die für den Automobilsektor zugelassen und 
qualifiziert sind. Dies betrifft Funktionsmuster ebenso wie elektrische bzw. 
elektronische und mechanische Bauelemente. Die Berechnung der Metriken 
auf der Grundlage der Gleichungen 3.10 und 3.8 würde aufgrund unzurei- 
chender Informationen über die Gesamtfehler stark abweichende und somit 
schlecht interpretierbare bzw. vergleichbare Ergebnisse liefern. Je nachdem, in 
welchem Detailgrad die Komponenten und deren Gesamtfehler berücksichtigt 
werden, fallen die Ergebnisse von Auswertungen auf einer solchen Datenba- 
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sis entweder deutlich zu pessimistisch oder aber deutlich zu optimistisch aus. 
Beispiele wie diese illustrieren, weshalb nur Teile der Bewertungsmetriken der 
ISO 26262 in der Vorentwicklung angewendet werden können und weshalb es 
schwierig ist, Aussagen über die Zuverlässigkeit von Komponenten im Allge- 
meinen und insbesondere von solchen für die elektrische Energieversorgung 
in der Vorentwicklung zu treffen. 


3.2.3 Datenquellen der Ausfallraten 


Um trotz dieser Schwierigkeiten Zuverlässigkeitsbewertungen vornehmen zu 
können, muss auf andere Mittel zurückgegriffen werden. Eine Strategie besteht 
darin, sich auf Ausfallraten zu beziehen. Zur Bestimmung von Ausfallraten ist 
entscheidend, wie häufig die fragliche Komponente bzw. das fragliche Bauele- 
ment oder die gesamte Baugruppe während eines gewissen Beobachtungszeit- 
raums ausfallen. Die Ausfalldaten, auf deren Basis die Ausfallraten berechnet 
werden, können aus folgenden Quellen gewonnen werden: 


e° Felddaten, 

e Labortests, 

e Handbücher, 

e parametrische Abschätzungen und 


e Expertenschätzungen. 


Die Berechnung von Ausfallraten auf der Basis von Felddaten ist stark von 
der Datenqualität abhängig. Realitätsnahe Ergebnisse lassen sich nur bei guter 
Datenqualität erzielen. Von Vorteil bei dieser Methode ist jedoch, dass in den 
Daten bereits die spezifisch auftretenden Belastungen und Umgebungsbedin- 
gungen enthalten sind. 

Die Berechnung von Ausfallraten aus Felddaten von Fahrzeugkomponenten 
ist häufig nicht trivial. Die Datengrundlage hierfür bilden im Wesentlichen 
Werkstattaufzeichnungen über Fahrzeuguntersuchungen zu Inspektions- und 
Wartungszwecken, die in entsprechenden Intervallen durchgeführt werden. Bei 
diesen Untersuchungen wird zwar eine große Menge von Diagnoseinformatio- 
nen aufgezeichnet; allerdings werden aufgrund von Fehlern ausgefallene Kom- 


74 


3.2 Zuverlässigkeitsbewertung in der Vorentwicklung 


ponenten meist getauscht, ohne dass die Fehlerursache untersucht wird [110]. 
Dies resultiert in unvollständigen Informationen über die tatsächlichen Fehler- 
ursachen, was die Berechnung der spezifischen Ausfallrate für eine bestimmte 
Fehlerart aus Felddaten oft unmöglich macht. Problematisch bei der Ermitt- 
lung von Ausfallraten aus Felddaten ist zudem auch die relativ kurze Beobach- 
tungszeit, da Ausfälle häufig nur während der Garantiezeit vollständig erfasst 
werden [120]. Datensätze über Gewährleistungsfälle sind von dieser Proble- 
matik zwar nur teilweise betroffen. Treten Fehlerbilder vermehrt auf, müssen 
die Hersteller schon aus ökonomischen Gründen umfassende Untersuchungen 
anstellen, um die Probleme zu beheben. Doch auch Ausfallhäufigkeiten aus 
Gewährleistungsdaten können nur eingeschränkt zur Berechnung von Ausfall- 
raten genutzt werden. Dies rührt daher, dass die Unterscheidung zwischen 
zufälligen und systematischen Fehlerursachen sowie die Unterscheidung zwi- 
schen Produktions- und Entwicklungsfehlern unbeachtet bleiben, da alle diese 
Ursachen zu Rückrufaktionen führen, wenn die von ihnen hervorgerufenen 
Fehler im Feld zu häufig auftreten oder kritisch sind [34], [156], [97], [177]. 
Weitere Probleme treten auf, wenn Fehler auf der Grundlage der vorliegenden 
Daten nicht plausibilisierbar sind, die Datenmenge zu gering ist oder schlicht 
gar keine Fehler gefunden werden. All diese Umstände führen zu unvollstän- 
digen Daten über die tatsächlichen Fehlerursachen, die dementsprechend nur 
bedingt als Grundlage für Zuverlässigkeitsbewertungen geeignet sind. 
Ausfallraten, die aufgrund von Ausfalldaten aus Labortests bzw. Laborversu- 
chen ermittelt werden, sind ebenfalls problematisch, da die dort beobachteten 
Fehler häufig nicht von zufälligen Ausfällen abgrenzbar sind. Dies liegt zum 
einen darin begründet, dass unter Laborbedingungen Fehlermoden gefördert 
werden können, die bei Feldbelastung nicht auftreten, und zum anderen dar- 
an, dass erhöhte Stressbelastungen häufiger zu systematischen Ausfällen füh- 
ren [133]. Die Stressfaktoren müssen in Laborversuchen deshalb so gewählt 
werden, dass Zufallsausfälle gefördert werden. 

Ein Vorteil von Laborversuchen besteht in der einfachen Anwendbarkeit bei 
Elektronikbauelementen, wobei mehrere Bauelemente gleichzeitig bzw. ganze 
Steuergeräte getestet werden können. Für die Untersuchung von Baugruppen 
sind Laborversuche hingegen nur begrenzt geeignet, da die Grundgesamtheit, 
die erforderlich wäre, um auch Fehler mit kleinen Ausfallraten beobachten zu 
können, schnell eine realistisch testbare Menge übersteigt. Für einen Großteil 
der Zuverlässigkeitsberechnungen für elektronische Komponenten werden da- 
her Ausfallraten aus Handbiichern genutzt. Die zur Erstellung der vorliegenden 
Arbeit genutzten Handbücher werden in Unterkapitel 2.5 erläutert. 


75 


Bewertung der Zuverlässigkeit 


Vorteilhaft bei der Nutzung von Daten aus Handbüchern ist, dass diese einfach 
anzuwendende Alterungs- und Stressmodelle zur Ermittlung von Ausfallraten 
enthalten, welche es je nach Standard zulassen, mehrere Belastungsfaktoren 
zu berücksichtigen. Jedes Handbuch beinhaltet eigene Berechnungsvorschrif- 
ten und Modelle, welche in Kombination mit gegebenen Basisfaktoren und zu 
erwartenden Belastungen eine relativ einfache Berechnung von Ausfallraten 
ermöglichen. Hierbei muss jedoch berücksichtigt werden, dass jedes Handbuch 
auf eigene Datengrundlagen zurückgreift, was dazu führt, dass die Absolut- 
werte stark streuen. Zudem ist zu beachten, dass jeder Standard unterschiedlich 
sensitiv auf Parameteränderungen reagiert [118], [104], [81], [73], [62]. 

Alle in dieser Arbeit verwendeten Handbücher bilden die in Abschnitt 2.5.1 be- 
schriebenen Belastungs- und Stressfaktoren auf der Grundlage der Arrhenius- 
Gleichung ab. Die sich daraus ergebende Einschränkung bezüglich der An- 
wendbarkeit auf temperaturunabhängige Fehlermechanismen wird in [115] 
beschrieben, wobei in Bezug auf die Elektronikfertigung vor allem auf Fehler 
wie elektrisch leitende Fehlstellen und Ermüdungsbrüche der Kontaktierun- 
gen eingegangen wird. Beide Fehlermechanismen werden in den verwendeten 
Handbüchern nur bedingt berücksichtigt. 

Des Weiteren muss berücksichtigt werden, dass Annahmen über Fehlerver- 
teilungen sowie Fehlerverteilungen, die auf Labortests beruhen, nicht not- 
wendigerweise der Situation im Feld entsprechen müssen, da Komponenten 
in der Automobilindustrie spezifischen Belastungen ausgesetzt sind und es 
dadurch zu abweichenden Fehlerverteilungen kommen kann. In diesem Zu- 
sammenhang wurden vom Autor 55.390 Generatoren sowie die 332.028 darin 
verbauten Gleichrichterdioden in Bezug auf ihre spezifischen Fehlerbilder un- 
tersucht [109]. Dabei wurden ca. 70 Prozent der Dioden gealtert und 30 Pro- 
zent der Dioden kurzgeschlossen vorgefunden. Im Vergleich hierzu gibt [18] 
eine Fehlerverteilung von 70 Prozent kurzgeschlossener, 20 Prozent offener 
und 10 Prozent mit Parameterveränderung ausgefallener Zener-Dioden an. Ein 
derart deutlicher Unterschied muss sich nicht für alle in Kraftfahrzeugen ver- 
bauten Komponenten ergeben; die Möglichkeit solcher Abweichungen sollte 
in Zuverlässigkeitsanalysen jedoch unbedingt bedacht werden. 

Als weitere Verfahren zur Erhebung von Ausfallraten können parametrische 
Abschätzungen sowie Expertenschätzungen dienen. Werte, die auf der Basis 
von parametrischen bzw. Expertenschätzungen beruhen, sind zwar grundsätz- 
lich akzeptiert. Man muss jedoch bedenken, dass Schätzungen immer nur so 
genau sind wie die ihnen zugrunde liegenden Informationsquellen. Die tatsäch- 
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lich auftretenden Ausfallraten miissen daher anhand von Test- und Felddaten 
nachgewiesen werden. 


Energiespeicher im Kontext der Zuverlassigkeit 


Im Bereich der elektrischen Energieversorgung von Kraftfahrzeugen werden 
als Energiespeicher in der 12V-Spannungsebene nach wie vor am häufigsten 
Blei-Säure-Batterien eingesetzt. Für die Bewertung der Zuverlässigkeit dieser 
Batterien ist die Ausfallrate maßgebend, also die Häufigkeit, mit der Feh- 
ler auftreten. In bisherigen Arbeiten zu Blei-Säure-Batterien wurden auf der 
Grundlage von Feldstudien mit ca. 800 Absorbent Glass Mat (AGM)-Batterien 
konstante Ausfallraten ermittelt [3]. 

Wie alle Energiespeicher unterliegen auch Blei-Säure-Batterien Alterungsef- 
fekten, wobei zum einen die kalendarische und zum anderen die zyklische 
Alterung zum Tragen kommen. Beide Alterungsmechanismen führen zur Ab- 
nahme der Kapazität und somit zum Verschleiß des Energiespeichers. Wie in 
Unterkapitel 2.4 gezeigt wurde, sind die Ausfallraten von verschleißbehafteten 
Komponenten nicht konstant. Da für eine ganzheitliche Zuverlässigkeitsbe- 
wertung der elektrischen Energieversorgung die verschleißbedingte Ausfallrate 
von Blei-Säure-Batterien bekannt sein muss, wirdim Rahmen der vorliegenden 
Arbeit auf der Grundlage von Werkstattaufzeichnungen ein eigenes Zuverläs- 
sigkeitsmodell für Blei-Säure-Batterien entwickelt (vgl. hierzu Unterkapitel 
5.2). 


3.2.4 Zusammenfassung 


Da sie in einer frühen Phase der Entwicklung durchgeführt wird, kann man für 
eine Zuverlassigkeitsbewertung in der Vorentwicklung auf deutlich weniger 
Informationen tiber die fraglichen Komponenten und deren spezifische Be- 
lastungen zurückgreifen als in der Serienentwicklung. In der Vorentwicklung 
besteht die maßgebliche Zielgröße im Ermitteln der wesentlichen Anforderun- 
gen an neue Komponenten und Systeme. Für eine Zuverlässigkeitsbewertung, 
wie sie im Serienprozess nach ISO 26262 durchgeführt wird, stehen dabei die 
notwendigen Eingangsdaten nicht zur Verfügung. Man kann allerdings auch 
nicht einfach zur Berechnung von Metriken auf der Grundlage von Gesamtfeh- 
lern übergehen. Denn wenn wesentliche Komponenten oder Schaltungen nicht 
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verbaut sind, werden diese bei der Angabe des Verhältnisses von Einfach- zu 
Gesamtfehlern nicht berücksichtigt. Man erfasst also zwar die richtige Anzahl 
an Einfachfehlern, aber die Gesamtfehleranzahl fällt zu gering aus. Dies führt 
in der Konsequenz zu übermäßig optimistischen bzw. pessimistischen Ergeb- 
nissen. 

Unabhängig von der Frage, ob zur Bewertung der Zuverlässigkeit die Metriken 
aus der ISO 26262 genutzt werden können oder nicht, muss eine Methode zur 
Berechnung der Ausfallwahrscheinlichkeit angewendet werden. Hierfür bie- 
ten sich Fehlerbäume oder Markov-Prozesse an. Alle Methoden erfordern als 
Eingangsgröße die Ausfallraten der jeweils verwendeten Komponenten. Die 
Berechnung bzw. Ableitung von Ausfallraten ist, wie in den vorigen Kapiteln, 
Unterkapiteln und Abschnitten geschildert, jedoch kein trivialer Vorgang. Kön- 
nen zur Berechnung der Ausfallraten keine Felddaten genutzt werden, muss 
stattdessen auf Handbücher zurückgegriffen werden. Da für die Automobil- 
industrie in dieser Hinsicht allerdings kein eigener Standard existiert, muss 
auf Handbücher aus anderen Disziplinen (Luft- und Raumfahrt, Militär etc.) 
Bezug genommen werden. Die dabei auftretenden Probleme wurden im Vor- 
angegangenen ausführlich diskutiert. 

Weitere Probleme ergeben sich aus dem Umstand, dass der Fokus der Auto- 
mobilindustrie auf der Qualitätserfüllung und somit auf der Zuverlässigkeit 
im Sinne der Lebensdauer liegt, jedoch nicht auf der Identifikation zufälliger 
Komponentenfehler. Dies ist wichtig, denn wenn eine Komponente im Feld 
fehlerhaft wird, ist zur Beurteilung der Frage nach der Zuverlässigkeit nicht 
nur die Ausfallrate, sondern auch die Ausfallursache entscheidend. Handelt es 
sich um einen Entwicklungs- oder Produktionsfehler, ist die Ursache systema- 
tischer Natur und die daraus resultierenden Fehler können nicht mit zufälligen 
Fehlern gleichgesetzt werden. Letztere müssen in einer umfassenden Analyse 
aber ebenso Beachtung finden wie erstere. 

Um dies sicherzustellen, ist zur Bewertung der Zuverlässigkeit in der Vorent- 
wicklung die Verwendung einer Methode nötig, mit der die Zuverlässigkeit 
auch auf der Grundlage einer schlechten Datenlage und entsprechend geringer 
Informationsdichte und -qualität berechnet und bewertet werden kann. 
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3.3 Methode zur Zuverlässigkeitsbewertung in 
der Vorentwicklung 


Im Folgenden werden zunächst die Anforderungen formuliert, die an eine 
Methode zur Bewertung der Zuverlässigkeit in der Vorentwicklung bestehen. 
Anschließend werden auf der Grundlage des V-Modells der Vorentwicklung 
die notwendigen Schritte zur Bewertung der Zuverlässigkeit hergeleitet und 
erläutert. Auf dieser Basis wird daraufhin eine Methode zur Berechnung der 
Zuverlässigkeit in der Vorentwicklung beschrieben. Die Anwendung der Me- 
thode findet sich in Kapitel 6. 


3.3.1 Anforderungen an die Methode 


Vor dem Hintergrund der zuvor beschriebenen Einschränkungen lassen sich 
zur Berechnung und zum Vergleich verschiedener Architekturen für die siche- 
re elektrische Energieversorgung hochautomatisierter Verbraucher folgende 
Anforderungen formulieren: 


1. Aufgrund der unzureichenden Datenlage in der Vorentwicklung kann 
keine vollständige Bewertung der Zuverlässigkeit auf der Basis der 
ISO 26262 erfolgen. Stattdessen muss die hier zu entwickelnde Be- 
wertungsmethode zur Berechnung der Zuverlässigkeit die Verwendung 
von abstrahierten Komponentenmodellen ermöglichen. 


2. Die Ausfallraten von spezifischen Komponenten aus der Automobil- 
industrie sind nur bedingt bekannt. Daher muss es im Rahmen der 
hier entwickelten Methode möglich sein, Ausfallraten aus verschiede- 
nen Quellen wie Felddaten, Veröffentlichungen und Handbüchern zu 
berücksichtigen. 


3. Bezüglich der Anwendung einschlägiger Handbücher ergeben sich wei- 
tere Anforderungen. Diese betreffen vor allem die Eingangsdaten, also 
die Frage, mit welchen Umgebungs- und Belastungsbedingungen die 
Komponenten in Kraftfahrzeugen beaufschlagt werden. Zu beachten ist 
hierbei, dass die elektrische Energieversorgung durch verschiedene Ver- 
braucher unterschiedlich stark belastet wird, wobei die Höhe und die 
Dauer der Belastung von der Verbraucheraktivität und der Fahrzeug- 
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nutzung abhängen. Aus diesen Gründen müssen bei der Berechnung 
von Ausfallraten auf der Basis von Handbüchern die individuellen Be- 
lastungen der fraglichen Komponenten bekannt sein und berücksichtigt 
werden. 


4. Die Ausfallraten für zufällige Fehler von bereits in Serie eingesetzten 
Komponenten der Teilsysteme Energiespeicher, Energiewandlung und 
Vernetzung werden in der gegenwärtig vorhandenen Literatur nicht aus- 
reichend abgedeckt. Aus diesem Grund müssen auf der Grundlage von 
Felddatenanalysen wesentliche Annahmen bezüglich der Ausfallraten 
bekannter Komponenten getroffen und in die Zuverlässigkeitsbewertung 
einbezogen werden. 


5. Als Ergebnis der hier unternommenen Bemühungen sollen Zuverläs- 
sigkeitskenngrößen ableitbar sein, anhand derer verschiedene Architek- 
turen im Hinblick auf ihre Zuverlässigkeit miteinander verglichen und 
bewertet werden können. 


Auf der Basis der hier aufgelisteten Anforderungen wird im Folgenden anhand 
der Prozessschritte in der automobilen Vorentwicklung die in der vorliegenden 
Arbeit entwickelte Methode zur Bewertung der Zuverlässigkeit eingeordnet 
und beschrieben. 


3.3.2 Beschreibung der Methode 


Der Entwicklungsprozess in der automobilen Vorentwicklung ist in Abbil- 
dung 3.4 dargestellt. Die für die Zuverlässigkeitsbewertung wesentlichen In- 
formationen werden in den Schritten 2 und 3 aufbereitet und festgelegt. Das 
Gesamtsystem, z. B. ein Steuergerät, muss dabei innerhalb der hierfür rele- 
vanten Ideen und Konzeptentwicklung definiert werden (2.1). Aus den dabei 
gewonnenen Erkenntnissen können Anforderungen für neue Komponenten ab- 
geleitet werden, auf deren Basis anschließend die prototypische Hard- und 
Softwareentwicklung (3.1) sowie die Prototypenherstellung initiiert wird. 

Für die Bewertung der Zuverlässigkeit ist entscheidend, welche Gefahren und 
Risiken auf System- und Komponentenebene existieren. Daher müssen im 
Rahmen der Zuverlässigkeitsbewertung sowohl für das Gesamtsystem als auch 
für einzelne Komponenten Gefahren- und Risikoanalysen (GuR) durchgeführt 
werden. Als Eingangsgrößen der GuR auf Systemebene dienen die aus der 
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VVVVV 


1. Initialisierung 2. Ideen und Kon- 3. Prototypen- 4. Versuchsträ- 5. Produktdefinition 
Vorentwicklung zeptentwicklung entwicklung ger Integration ‚Anforderungen 
in: 2.2 Komponenten- 3.1 Entwick- 3.2 Prototypen- 
2.1 Systemdefinition definition lung HW+SW herstellung HW+SW 


Abbildung 3.4: Beschreibung der modellbasierten Methode zur Berechnung der Zuverlässigkeit 
der elektrischen Energieversorgung 


Systemdefinition gewonnenen Informationen zur Funktions- und Wirkstruktur 
des jeweils betrachteten Systems. Die aus der GuR auf Systemebene gewon- 
nenen Sicherheitsziele dienen wiederum der GuR auf Komponentenebene als 
Eingangsgrößen. 

Aus dem Bereich der qualitativen Methoden können sowohl die FMEA als 
auch die FTA eingesetzt werden. Der Vorteil der Verwendung der FTA ist, 
dass sie eine direkte Überführung der qualitativen Struktur in die quantitative 
Bewertung ermöglicht. Aus diesem Grund wird im Folgenden die FTA als 
Methode zur Analyse und Berechnung der Zuverlässigkeit verwendet. 

Nach der Durchführung einer GuR auf Komponentenebene folgt die Berech- 
nung der Ausfallraten für die eingesetzten Bauelemente (vgl. hierzu Abbil- 
dung 3.5). Zur Berechnung der Zuverlässigkeit technischer Systeme wie der 


2.1 Systemdefinition 22 enolate 
definition 


GuR auf Sys- GuR auf Kom- Ausfallraten- Fehler- Zuverlässigkeits- 
temebene ponentenebene berechnung wahrscheinlichkeiten bewertung 


FMEA, FTA usw. FMEA, FTA usw. Felddaten, Handbücher usw. 


Abbildung 3.5: Detaildarstellung von Teil 2.1 und 2.2 der modellbasierten Methode zur Berech- 
nung der Zuverlässigkeit der elektrischen Energieversorgung 


elektrischen Energieversorgung bzw. einzelner Komponenten derselben wer- 
den die bereits zuvor beschriebenen Quellen (Literatur, Ausfallratenhandbü- 
cher und eigene Zuverlässigkeitsmodelle) genutzt. 

Die Berechnung der Fehlerwahrscheinlichkeiten für ein bestimmtes Ereignis 
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erfolgt auf der Basis der durch die qualitativen FTA erhaltenen Struktur und 
der Booleschen Algebra.! Auf der Grundlage der so berechneten Wahrschein- 
lichkeiten kann im nächsten Schritt die Zuverlässigkeit der eingesetzten Kom- 
ponenten bewertet werden. Wie im Vorangegangenen erläutert, beruht die hier 
entwickelte Methode im Wesentlichen darauf, die Zuverlässigkeit nicht auf der 
Basis von Eingangsdaten zu berechnen (da diese in der Vorentwicklung nur 
unzureichend vorhanden sind), sondern stattdessen auf der Grundlage abstra- 
hierter Komponenten- und Funktionsmodelle. Zur Erstellung dieser Modelle 
ist zusätzlich zu den jeweils zu untersuchenden Komponenten und genutzten 
Bauelementen die Kenntnis der Belastungen entscheidend, denen diese ausge- 
setzt sind. 

Grundsätzlich muss bezüglich aller Komponenten und deren Bauelementen 
die Frage beantwortet werden, inwieweit die Belastung der fraglichen Kompo- 
nente bzw. des fraglichen Bauelements deren bzw. dessen zufälligen Ausfall 
beeinflusst. In der elektrischen Energieversorgung liegt der Fokus dabei auf 
den Verbrauchern, den Umweltbedingungen und dem jeweiligen Fahrprofil. 
Die Belastung der zu betrachtenden Komponenten und Bauelemente variiert 
dabei in Abhängigkeit von thermischen und elektrischen Einflussparametern. 
Um die Belastung der einzelnen Komponenten und Bauelemente in der elek- 
trischen Energieversorgung zu analysieren, wurden Untersuchungen in Form 
von Fahrversuchen durchgeführt.” Als Grundlage zur Berechnung der Ausfall- 
raten dienten dabei die in Abschnitt 2.5.1 vorgestellten Modelle. Die aus den 
Fahrversuchen abgeleiteten Ergebnisse für die Komponentenbelastungen und 
die Umweltbedingungen wurden anschließend generalisiert und als Eingangs- 
daten für die Erstellung von Komponenten- und Ausfallratenmodellen genutzt. 
Hierzu wurden zunächst in Abhängigkeit von den genannten Eingangsdaten 
sowie auf der Basis physikalischer Komponentenmodelle die erforderlichen 
Werte für die Stress- und Komponentenbelastungen berechnet. Zur genauen 
Abbildung der Komponenten wurden dabei elektrische Modelle mit datenge- 
triebenen thermischen Modellen kombiniert. Die Ergebnisse beider Modelle 


! Grundsätzlich wäre die Modellierung zwar auch anhand von Markov-Prozessen möglich, diese 
Möglichkeit wird im weiteren Verlauf jedoch nicht weiter verfolgt, da der Fokus der vorliegenden 
Arbeit aus den oben genannten Gründen auf Einfachfehlern liegt, wohingegen die Verwendung 
von Markov-Prozessen vor allem für voneinander abhängige Ereignisse wie Mehrfachfehler 
geeignet ist. Eine ausführliche Beschreibung zur Modellierung mit Markov-Prozessen und 
weiteren Modellierungsmethoden findet sich in [1]. 

? Eine detaillierte Beschreibung dieser Fahrversuche findet sich in Unterkapitel 5.1. 
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dienten anschließend als Eingangsgrößen für die Berechnung der Ausfallraten. 
Die auf diesem Weg für die elektrische Energieversorgung entwickelten Mo- 
delle werden in Kapitel 5 detailliert beschrieben. 

In Abbildung 3.6 ist der auf die automobile elektrische Energieversorgung be- 
zogene Berechnungsablauf dargestellt. Wie oben beschrieben dienen in dieser 
Methode als Eingangsdaten die aus Fahrversuchen abgeleiteten Belastungs- 
und Umweltprofile. Um das Nutzungsverhalten von Fahrzeugen abbilden zu 
können, besteht die Möglichkeit, über Fahrprofilmodelle verschiedene Stre- 
ckenprofile sowie die dabei auftretenden Belastungen zu parametrieren. Da- 
bei werden in der vorliegenden Arbeit verschiedene Streckenarten — Kurz-, 
Mittel- und Langstrecke — und deren Häufigkeit im Fahrzeuglebenszyklus un- 
tersucht. Theoretisch wäre es zwar auch möglich, anstelle der Betrachtung 
der einzelnen Fahrprofile ein aggregiertes Fahrprofil zu nutzen. Die Auswir- 
kungen auf die Ergebnisse der Zuverlässigkeitsberechnung bei unterschied- 
lichen Kombinationen der Fahrprofile und deren Häufigkeit werden aus den 
oben genannten Gründen (geringere Präzision infolge von Ungenauigkeiten 
und mangelnder Vergleichbarkeit) im Folgenden jedoch nicht untersucht. Die 
Parameter der Fahrprofile werden in Abhängigkeit von der gewählten Syste- 
marchitektur auf die einzelnen Komponenten aufgeteilt. Unter der Annahme, 
dass die Basislast gleichbleibt, können die Werte der Belastungsfaktoren für 
die verschiedenen Komponenten beliebig gewählt werden. In Abhängigkeit von 
der Belastung und den daraus entstehenden Verlustleistungen bzw. den daraus 
resultierenden Eigen- und Fremderwärmungen werden die Ausfallraten über 
die Modelle der verschiedenen Zuverlässigkeitsstandards (z. B. FIDES [48], 
HDBK-217Plus [130] und SN29500 [151]) berechnet. Für jede Komponente 
wird dabei ein eigener Fehlerbaum eingeführt. Die hierbei festgelegten Top- 
Ereignisse dienen anschließend als Basisereignisse für den Fehlerbaum des 
Gesamtsystems. 

Im folgenden Kapitel wird zunächst die elektrische Energieversorgung in Kraft- 
fahrzeugen vorgestellt, um anschließend deren wesentliche Eigenschaften zu 
diskutieren. Vor diesem Hintergrund wird eine GuR für hochautomatisierte 
Fahrfunktionen erstellt. Zudem werden die wesentlichen Komponenten der 
aktuellen elektrischen Energieversorgung nach dem hier vorgeschlagenen Ver- 
fahren exemplarisch modelliert. In Kapitel 6 wird die hier entwickelte Methode 
auf eine klassische sowie auf eine elektrische Energieversorgungsarchitektur 
mit zwei Spannungsebenen angewendet. Abschließend werden die Ergebnisse 
diskutiert. 
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Architektur und Komponentenmodelle Ausfallratenmodelle Zuverlässigkeitsmodelle 
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IN Komponenten 
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Abbildung 3.6: Beschreibung der modellbasierten Methode zur Berechnung der Zuverlässigkeit technischer Systeme in der automobilen 
Vorentwicklung am Beispiel der elektrischen Energieversorgung 
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4 Energieversorgung in 
Kraftfahrzeugen 


Historisch betrachtet wurde die elektrische Energieversorgung von Personen- 
kraftwagen zunächst zum Betrieb der Verbrennungskraftmaschine (VKM) er- 
forderlich. Die Energie für die Zündelektronik musste in den Anfängen des 
Automobils aus gering leistungs- und speicherfähigen Energiespeichern ge- 
wonnen werden. Zusätzlich war nach jeder Fahrt das Laden dieser Speicher 
vonnöten, da die Fahrzeuge noch nicht über einen Generator zur Versorgung 
bzw. zum Laden des Energiespeichers verfügten. Erst mit der Einführung der 
Magnetzündung und der sog. Lichtmaschine als Generator etablierte sich die 
elektrische Energieversorgung im Automobil [90]. 

In der Frühphase der elektrischen Energieversorgung in Kraftfahrzeugen muss- 
ten nur wenige Verbraucher mit elektrischer Energie versorgt werden. Dies 
änderte sich mit der Zunahme von Funktionen zur Regelung der Längs- und 
Querdynamik, mit der Einführung neuer Komfortverbraucher sowie mit dem 
Zuwachs an Systemen zur Abgasnachbehandlung bzw. zur Verbrauchsredukti- 
on deutlich. Mit der Nutzung elektrisch angetriebener Fahrzeuge kamen noch- 
mals weitere Verbraucher hinzu, da E-Fahrzeuge die Integration von Verbrau- 
chern erforderten, die bisher mit der VKM gekoppelt waren. Dieser Entwick- 
lungsprozess bezüglich E-Fahrzeugen führte auch bei mechanisch angetrie- 
benen Systemen bzw. Nebenaggregaten zu einem Wandel. So wurden neben 
Heizelementen auch Verbraucher wie z. B. die Wasserpumpe oder der Kälte- 
mittelverdichter elektrifiziert. 

Im Wesentlichen besteht die elektrische Energieversorgung in Personenkraft- 
wagen aus drei Teilsystemen, welche die Energie zur Versorgung der elektri- 
schen Verbraucher bereitstellen bzw. übertragen. Das Gesamtsystem der elek- 
trischen Energieversorgung kann dabei in die folgenden Teilsysteme unterteilt 
werden: 


e Energiespeicher, 
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e Energiewandlung, 
e Vernetzung sowie 


e Leistungs- und Energiemanagement. 


Jedes dieser Systeme ist an der elektrischen Energieversorgung beteiligt und 
steht in Verbindung zu- sowie in Wechselwirkung miteinander. 

Die klassische elektrische Energieversorgung von Personenkraftwagen mit 
VKM basiert auf dem einfachen Prinzip, dass eine Blei-Säure-Batterie als 
Energiespeicher das Starten der VKM ermöglicht. Anschließend agiert der 
Generator über eine Kopplung mit der VKM als Energiequelle. Der Generator 
wandelt einen Teil der Bewegungsenergie der VKM in elektrische Energie 
um. Der Energietransport zwischen den Quellen und Senken bzw. zwischen 
den Verbrauchern wird über die Vernetzung sichergestellt und erfolgt entweder 
über Stromschienen oder über einzelne Leitungen, die als Verbindungen einge- 
setzt werden. Um gewissen Fertigungsanforderungen zu entsprechen sowie aus 
Gründen der Wartbarkeit wird die Vernetzung teilweise auch mit trennbaren 
Übergangsstellen ausgeführt. In diesem Fall werden die Verbraucher entweder 
einzeln oder in Gruppen versorgt. 

Entscheidend dafür, ob die elektrische Energieversorgung über Verteilstel- 
len wie z. B. Splices oder direkt vom Sicherungsverteiler aus erfolgen kann, 
ist zumeist die Frage nach der Notwendigkeit einer eigenen Absicherung 
zum Leitungsschutz. Die Verbraucher selbst wandeln die elektrische Ener- 
gie, mit der sie versorgt werden, in andere Energieformen wie Bewegungs- 
oder Wärmeenergie um. Die elektrisch unterstützte Lenkung (Electric Power 
Steering (EPS)) bspw. hat hydraulische Systeme zur Lenkung weitgehend ab- 
gelöst und stellt heute im Bereich der Personenkraftwagen den Standard in der 
Lenkunterstützung dar [125]. 

Jeder Verbraucher hat eigene Anforderungen an die elektrische Energiever- 
sorgung, was Auswirkungen auf die Anforderungen an die einzelnen Teil- 
systeme hat (beispielsweise benötigt der Kühlerlüfter beim Anlaufen einen 
hohen Strom, welcher vom Energiespeicher bereitgestellt werden muss, wo- 
bei die Vernetzung hinreichend niederohmig dimensioniert sein muss usw.). 
Da sich die Komplexität von Personenkraftwagen durch die Einführung neuer 
Assistenzsysteme bzw. Funktionen deutlich erhöht hat und die Anforderungen 
dadurch nochmals gestiegen sind, wurde es erforderlich, eigens zur Regelung 
der elektrischen Energieversorgung entwickelte Energie- und Leistungsmana- 
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gementsysteme einzusetzen. 

Mit der Erhöhung des Automatisierungsgrads in Personenkraftwagen steigen 
neben den Anforderungen an die Leistung vor allem auch die Anforderun- 
gen an die Zuverlässigkeit der elektrischen Energieversorgung. Der Fokus der 
Untersuchungen in der vorliegenden Arbeit liegt daher auf den Themen Zu- 
verlässigkeit und Verfügbarkeit der elektrischen Energieversorgung. Aufgrund 
der Komplexität der einzelnen Teilsysteme und deren Komponenten ist ei- 
ne zuverlässige elektrische Energieversorgung aller Komponenten von deren 
Eigenschaften abhängig. Um eine Aussage über die Zuverlässigkeit der elek- 
trischen Energieversorgung im Gesamten treffen zu können, müssen nicht nur 
alle Teilsysteme berücksichtigt werden, sondern auch die Wechselwirkungen 
aller Teilsysteme untereinander und mit dem Gesamtsystem. Im Folgenden 
werden die einzelnen Teilbereiche der elektrischen Energieversorgung näher 
betrachtet, und zwar nach der folgenden Struktur: 


Wesentlich für jede elektrische Energieversorgung ist deren Architektur. 
In Unterkapitel 4.1 werden die typischen Versorgungsstrukturen vorge- 
stellt und deren Eigenschaften diskutiert. 


Jede Funktion erfordert eine Vielzahl von Verbrauchern in Form von 
Sensoren, Steuergeräten und Aktoren. In Unterkapitel 4.2 werden die 
Hauptkategorien vorgestellt, in welche die einzelnen Verbraucher dies- 
bezüglich einzuordnen sind, und es wird erläutert, welche Wirkung die 
einzelnen Verbraucher auf die elektrische Energieversorgung haben. 


Die elektrische Energie zur Versorgung der Verbraucher wird von Ener- 
giespeichern bereitgestellt. Diese bilden die Basis der elektrischen Ener- 
gieversorgung. Während bei VKM-betriebenen Fahrzeugen ein Genera- 
tor die Hauptversorgung übernimmt, kommt bei elektrisch angetriebenen 
Fahrzeugen ein DC/DC-Wandler zum Einsatz. Ein Überblick über die 
hier genutzten Technologien findet sich in Unterkapitel 5.4. 


Wie oben erwähnt, werden in modernen Personenkraftwagen Leistungs- 
und Energiemanagementsysteme eingesetzt. Dies geschieht zum einen 
aufgrund der zunehmenden Anforderungen an die Leistungsfähigkeit 
und Effizienz der elektrischen Energieversorgung sowie zum anderen zu 
Diagnosezwecken. In Unterkapitel 4.3 erfolgt eine Erläuterung der in 
Serienfahrzeugen verwendeten und in der Literatur vorgestellten Syste- 
me. 
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e Die Anforderungen an die elektrische Energieversorgung werden in Un- 
terkapitel 4.4 erläutert. Zunächst wird hierfür eine Übersicht über die für 
hochautomatisierte Systeme benötigten Komponenten und deren Anfor- 
derungen gegeben. Daraus werden anschließend die Zielanforderungen 
für die elektrische Energieversorgung hochautomatisierter bzw. autono- 
mer Assistenzsysteme abgeleitet. 


4.1 Architektur der elektrischen 
Energieversorgung 


4.1.1 Topologie 


Die Architektur der elektrischen Energieversorgung wird im Wesentlichen 
durch die Teilsysteme Vernetzung und Verbraucher dargestellt. Jeder Verbrau- 
cher muss in der Entwicklung eines Fahrzeugs entweder in notwendigen oder in 
freien Bauräumen positioniert werden. Dadurch wird zum einen die Grundar- 
chitektur und zum anderen die Vernetzung vorgegeben. In klassischen Versor- 
gungsarchitekturen mit einem Fahrzeugenergiespeicher ist dieser häufig in der 
Nähe der Hochleistungsverbraucher wie z. B. dem Starter der VKM platziert. 
Da die Positionierung des Generators u. a. auch von der Position des Motors 
abhängt, haben sich bei einer Vielzahl von Kraftfahrzeugen mit Frontmotor 
der in Abbildung 4.1 (a) dargestellte Schaltplan sowie die in (b) abgebildete 
Topologie etabliert. 

Alle wesentlichen Komponenten der elektrischen Energieversorgung — also 
die Fahrzeugbatterie, der Generator und der Starter — sind im Motorraum 
verortet, sodass eine niederohmige Anbindung realisiert werden kann. Die 
Verbraucher V,, werden gewöhnlich über Leistungs- bzw. Sicherungsverteiler 
an die elektrische Energieversorgung angebunden, wobei mehrere Verteiler an 
unterschiedlichen Positionen im Fahrzeug platziert sind. Die Anbindung der 
Verbraucher an die Fahrzeugmasse erfolgt über die Karosserie. Diese Topolo- 
gie entspricht einer Baumstruktur und ist die am weitesten verbreitete Struktur 
in der elektrischen Energieversorgung von Kraftfahrzeugen. 

Infolge des Aufkommens von Kohlefaserverbundwerkstoffen im Karosserie- 
bau und dem damit einhergehenden Wegfall der Karosserie als Masseleiter 
wurde es jedoch erforderlich, nach alternativen Strukturen zu suchen. In [149] 
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Abbildung 4.1: Vereinfachter Schaltplan und Topologie der elektrischen Fahrzeugenergieversor- 
gung mit einem Energiespeicher 


wird bspw. die in Linienstruktur realisierte Vernetzung — auch als Backbone- 
Architektur bezeichnet — untersucht. Bei dieser Architektur wird im Fahrzeug 
eine Hauptleitungstrasse (z. B. im Mitteltunnel) umgesetzt, über welche beide 
Potentiale (12V und Masse) geführt werden. Neben sehr positiven Eigenschaf- 
ten bezüglich der Elektromagnetische Verträglichkeit (EMV) als Folge nied- 
riger Eigen- und Gegeninduktivität bietet diese Architektur weitere Vorteile 
im Hinblick auf den Fertigungsaufwand: Im Vergleich zu Bordnetzen mit Ein- 
zelleitungen ist ein in Stromschienen ausgeführtes System deutlich effizienter 
herzustellen. Trotz dieser Vorteile hat sich die Backbone-Architektur aufgrund 
der erforderlichen Änderungen im Fahrzeugaufbau bisher nicht durchsetzen 
können. 

Eine weitere mögliche Topologie der elektrischen Energieversorgung ist die 
Ringstruktur. Nach [79] werden die Verbraucher hierbei, ähnlich wie bei der 
Linientopologie, nicht direkt angebunden, sondern über einen Energiebus ver- 
sorgt. Ein entscheidender Vorteil dieser Architektur ist, dass auch im Fall einer 
Leitungsunterbrechung weiterhin alle Verbraucher mit Energie versorgt wer- 
den können. Beim Einsatz einer Baumstruktur ist in solchen Fällen hingegen 
zumeist ein einzelner Verbraucher oder eine Gruppe von Verbrauchern betrof- 
fen, der bzw. die infolgedessen nicht mehr mit elektrischer Energie versorgt 
werden kann bzw. können. Bei Verwendung einer Linienstruktur werden nach 
der Unterbrechung hingegen gar keine Verbraucher mehr versorgt. Insofern 
besteht bei Verwendung einer Linienstruktur im Falle quellennaher Fehler ein 
höheres Risiko für die Versorgung als bei Verwendung einer Baumstruktur. 
Beim direkten Vergleich der Strukturen zeigt sich, dass vor allem die Dia- 
gnostizierbarkeit der Baumstruktur vorteilhaft ist. Treten in der Ringstruktur 
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Kurzschliisse auf, sind ohne Weiteres weder eine Diagnose noch ggf. eine 
darauf beruhende Fehlerbehandlung möglich, und unter Umständen werden 
funktionierende Verbrauchergruppen von der elektrischen Energieversorgung 
getrennt. 


4.1.2 Spannungsebenen 


Die Spannungsebene der elektrischen Energieversorgung in einem Kraftfahr- 
zeug basiert im Wesentlichen auf der Spannung des jeweils verbauten Ener- 
giespeichers. Bei den historisch ersten Starterbatterien lag die Spannung bei 
ca. 6 Volt. Die einzelnen Starterbatterien bestanden dabei aus in Reihe bzw. 
teilweise auch aus parallel geschalteten Bleiakkumulatoren mit einer Nenn- 
spannung von ca. 2 Volt je Zelle. Aufgrund der Zunahme an Verbrauchern 
wurde die Nennspannung zur Erhöhung der Effizienz im Laufe der Zeit auf 
12 Volt angehoben. 

Grundsätzlich kann die Spannungslage der elektrischen Energieversorgung auf 
die Zyklen der Starterbatterie zurückgeführt werden. Im Kraftfahrzeug können 
dabei folgende Zustände voneinander unterschieden werden: 


1. Im Ruhezustand ist die VKM außer Betrieb. Es erfolgt somit keine 
Nachladung der Starterbatterie über den Generator oder den Gleich- 
spannungswandler. In elektrisch angetriebenen Fahrzeugen besitzt das 
12V-System einen kleineren Energiespeicher, weshalb hier während des 
Ruhezustands bei zu niedriger Spannung aus dem Hochvoltspeicher 
(Traktionsbatterie) nachgeladen werden kann. Im Ruhezustand sind die 
Verbraucher entweder deaktiviert oder müssen hohe Ruhestromanforde- 
rungen erfüllen. Der Ruhezustand (Standby oder Sleep) kann mehrere 
Monate andauern und es kann ebenso lange dauern, bis der Speicher wie- 
der geladen werden muss. Im Ruhezustand liegt die Spannungsebene der 
elektrischen Energieversorgung ohne Versorgung durch einen Genera- 
tor bzw. Gleichspannungswandler auf dem Niveau des Potentials der 
Starterbatterie. Wenn die Ladezyklen sehr weit auseinanderliegen, kann 
dies jedoch zu tiefen Spannungswerten führen, wodurch vor allem der 
Energiespeicher irreversibel geschädigt werden kann. Aus diesem Grund 
sind die Anforderungen an die Verbraucher im Ruhezustand besonders 
restriktiv. 
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2. Der Fahrbetrieb wird durch das Anlassen der VKM bzw. bei E-Fahrzeugen 
durch das Schließen der Hauptschiitze eingeleitet. Hierbei werden die 
Verbraucher entweder direkt über den Generator versorgt, der auch die 
Starterbatterie lädt, oder sie werden mittels eines Gleichspannungs- 
wandlers aus einer höheren Spannungsebene gespeist. 


Während des Fahrbetriebs wird die Spannung zum Laden des Energiespeichers 
und zur Versorgung der Verbraucher auf ca. 14,5 Volt angehoben. Die Zunah- 
me der Anzahl von Verbrauchern und der Trend zu immer leistungsfähigeren 
Systemen machten in den letzten Jahrzehnten eine höhere Spannungslage erfor- 
derlich. Dementsprechend wurden seit Beginn der 1990er Jahre verschiedene 
Konzepte bzw. Architekturen für die Einführung einer 42V-Spannungslage 
diskutiert [49], [99], [112]. Das Konzept der 42V-Spannungsebene basiert auf 
der Anhebung der gesamten Spannungslage von 12 auf 42 Volt. Unter Berück- 
sichtigung aller Toleranzen konnte eine Maximalspannung von kleiner 60 Volt 
erreicht werden. Aufgrund des enorm großen Umfangs an erforderlichen Än- 
derungen an den bisher verbauten Verbrauchern wurde die 42V-Architektur bei 
vielen OEMs allerdings nicht in Serie eingeführt. Grund hierfür ist, dass auf- 
grund der sich deutlich ändernden Anforderungen und des Mehraufwands für 
die Aufbereitung der Eingangsspannung bei Steuergeräten bzw. Verbrauchern 
auf Logikspannungsebene mit der 42V-Architektur keine kosteneffiziente Ver- 
sorgung umgesetzt werden konnte. Zwar wurden derartige Systeme teilweise in 
Serie gebracht, jedoch zumeist in Fahrzeugen mit Hybridantrieb. Im Zuge die- 
ser Neuerungen wurden, zusätzlich zur geplanten Anhebung der Spannungs- 
lage, auch mehrere Architekturen entwickelt, in denen eine 12V- mit einer 
42V-Spannungslage kombiniert wird, sodass nicht die gesamte Spannungslage 
auf 42 Volt angehoben werden muss, sondern nur der Teil des Netzes, der 
zur Versorgung von Verbrauchern mit hoher Stromaufnahme wie der Heizung 
oder Komfortsystemen dient. Neben komplett parallel geführten Spannungs- 
ebenen mit eigenen Energiespeichern und Generatoren sind vor allem solche 
interessant, die mit nur einem Generator und Energiespeicher auskommen. 
Häufig speist dabei der Generator aufgrund der höheren Effizienz die 42V- 
Ebene [158]. 

Mit steigenden Umweltanforderungen, insbesondere bezüglich der Reduktion 
des Ausstoßes von Stickoxiden und Kohlenstoffdioxid (CO2), wurde erneut die 
Einführung einer zweiten Spannungsebene forciert [76]. Durch die Verwen- 
dung von Hybridantrieben sowie durch die Gewichtsreduktion der Vernetzung 
leistungsintensiver Verbraucher konnte eine deutliche Verbesserung der Um- 
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weltbilanz erreicht werden [116]. 

Je nach Anforderung bzw. in Abhängigkeit von den jeweiligen Verbrauchern 
kann die 48V-Ebene unterschiedlich ausgeführt werden. In Abbildung 4.2 ist 
die 48V-Ebene mit einem Energiespeicher, einem Booster-Generator und ei- 
nem 48V-Verbraucher dargestellt. In der 12V-Ebene wird bewusst auf einen 
Generator verzichtet. Die Versorgung erfolgt stattdessen über einen Gleich- 
spannungswandler. Mit der Wahl eines hinreichend großen Energiespeichers 
kann die VKM problemlos über das 12V-System gestartet werden. Durch 
die Erweiterung des 48V-Generators zum Booster-Generator kann der Starter 
auf der 12V-Spannungsebene teilweise entfallen (sofern der Riemen-Starter- 
Generator genug Moment zum Starten der VKM aufbringen und auf die Kur- 
belwelle übertragen kann). In Abhängigkeit davon, welche Verbraucher auf der 
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Abbildung 4.2: Basisarchitektur der elektrischen Energieversorgung mit 12V- und 48V- 
Spannungsebene 


48V-Ebene versorgt werden müssen, können neben Lithium-Ionen-Speichern 
auch Super-Caps eingesetzt werden [171], [7]. Da die 48V-Ebene nicht gal- 
vanisch von der 12V-Ebene getrennt ist, wird die Karosserie als gemeinsames 
OV-Potential genutzt. 

Da auf der 12V-Ebene aus technischen und wirtschaftlichen Gründen zum 
Großteil Blei-Säure-Batterien als Energiespeicher eingesetzt werden, basiert 
die Auslegung der elektrischen Energieversorgung im Wesentlichen auf der 
Dimensionierung des Energiespeichers und auf der Einhaltung der diesbe- 
züglichen Spannungsgrenzen [91]. Das Gesamtsystem verhält sich dabei wie 
ein klassischer Regelkreis mit der Bordnetzspannung als Führungsgröße, dem 
Generator als Stellglied und den Verbrauchern als Störgrößen. 
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4.2 Verbraucher 


Die Entwicklung der elektrischen Energieversorgung richtet sich in erster Linie 
nach den Eigenschaften der Verbraucher bzw. danach, welche Anforderungen 
diese an die elektrischen Energieversorgung stellen. Die Batterie, der Gene- 
rator bzw. der Gleichspannungswandler, die Architektur und die Vernetzung 
müssen dementsprechend in Abhängigkeit von den jeweiligen Leistungsprofi- 
len bzw. der Stromaufnahme der Verbraucher ausgelegt werden. 

Mit zunehmender Fahrzeugausstattung nimmt auch der Umfang an Assistenz- 
und Komfortfunktionen zu. Aus diesem Grund müssen Fahrzeuge höherer 
Fahrzeugklassen, z. B. die Modelle Audi A8, BMW 7er oder Mercedes S- 
Klasse, mit einer besonders leistungsfähigen elektrischen Energieversorgung 
ausgestattet werden. 

Grundsätzlich gibt es hinsichtlich der elektrischen Energieversorgung von Ver- 
brauchern zwei Möglichkeiten: Entweder wird ein Verbraucher dauerhaft oder 
nur zur Funktionsausführung mit elektrischer Energie versorgt. Welche Option 
im konkreten Fall genutzt wird, hängt von den unterschiedlichen Funktionen 
der Verbraucher und somit von der Funktionsausführung ab. Im Sinne dieser 
leistungsspezifischen Anforderungen kann dabei zwischen den folgenden drei 
Arten von Verbrauchern unterschieden werden: 


e Dauer-, 
e Langzeit- und 
e Kurzzeitverbraucher. 


Dauerverbraucher sind Verbraucher, die während des gesamten Fahrbetriebs 
eine annähernd konstante Leistungsaufnahme aufweisen und von Beginn bis 
Ende des Fahrzyklus aktiv sind. Dauerverbraucher sorgen in der elektrischen 
Energieversorgung für eine konstante Basislast, die in Abhängigkeit von den 
Umweltbedingungen sowie in Abhängigkeit von den Eigenschaften des jewei- 
ligen Fahrzeugs und Fahrprofils variiert. 

Langzeitverbraucher sind Verbraucher, die für längere Zeit, aber nur in be- 
stimmten Situationen während des Fahrbetriebs aktiv sind und deren elek- 
trischen Energieversorgung von ihrer Aktivierung zur Erfüllung bestimmter 
Funktionen abhängt. Ein anschauliches Beispiel hierfür sind Heizverbraucher. 
Der Energieverbrauch von Kurzzeitverbrauchern hängt zum Großteil vom Fahr- 
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profil ab. Systeme wie die EPS oder Aktoren am Fahrwerk und fiir die VKM 
(z. B. der E-Turbolader) können je nach Leistungsanforderung mehrere Kilo- 
watt Spitzenleistung umsetzen. Dies erklärt, weshalb die Maximalbelastung in 
der elektrischen Energieversorgung von Kurzzeitverbrauchern verursacht wird 
bzw. über deren Leistungsprofile zu erklären ist . 

In Abbildung 4.3 ist die simulierte Stromaufnahme der EPS bei einem Spur- 
wechsel mit Bremseingriff dargestellt. Im Falle des hier abgebildeten Profils 
wird der Maximalstrom während der maximalen Aussteuerung der Synchron- 
maschine erreicht und liegt bei ca. 140 Ampere. Ohne Lenkeingriff liegt die 
nominale Stromaufnahme bei wenigen Ampere. Die Spannungsstabilität der 
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Abbildung 4.3: Belastung der elektrischen Energieversorgung wahrend eines Spurwechsels mit 
Bremsung bei einer Anfangsgeschwindigkeit von 80 km/h. Als Simulationsmo- 
dell wurde ein Einspurmodell mit den Fahrzeugparametern eines Audi A8 genutzt. 
Dargestellt sind in der oberen Abbildung der Soll- und der Ist-Radwinkel, in der 
Mitte der von der EPS aufgenommene Strom und unten die Spannungslage der 
elektrischen Energieversorgung, gemessen an der EPS. Simuliert wurde die elek- 
trische Energieversorgung mit einem Generator, einer neuen Blei-Säure-Batterie 
(80 Ah, 100% State-Of-Charge (SOC) und idealer Vernetzung. 
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elektrischen Energieversorgung ist in der hier dargestellten Simulation hinrei- 
chend gegeben. Mit steigender Leistungsaufnahme der EPS sinkt die Spannung 
zunächst auf ca. 11 Volt ab und stabilisiert sich danach wieder auf dem Niveau 
der vom Generator vorgegebenen Sollspannung von ca. 14 Volt. (Je nachdem, 
welche Fahrsituation angenommen wird bzw. welche Alterungsbedingungen 
der Quellen sowie der Vernetzung vorliegen, kann die Spannung auch deutlich 
tiefer sinken.) Aufgrund des hohen Anstiegs im Strombedarf wird die Energie 
für dieses Manöver zum Großteil aus der Batterie bezogen. Der Generator 
ist aufgrund seiner Kopplung mit der VKM nicht dynamisch genug, um sol- 
che Gradienten bereitzustellen. Wie an diesem Beispiel gezeigt werden soll, 
sind Kurzzeitverbraucher für die elektrische Energieversorgung die kritischste 
Gruppe in der Belastung. 

Aus Sicht der elektrischen Energieversorgung sind aber nicht nur die Ver- 
brauchsspitzen durch die Kurzzeitverbraucher entscheidend, sondern zu be- 
rücksichtigen ist auch die Höhe der Grundlast durch die anderen Verbraucher. 
Letztere hängt von den Umgebungsbedingungen und hier vor allem von der 
Umgebungstemperatur ab. Vor diesem Hintergrund werden die Betriebsarten 
der Verbraucherprofile unterteilt in 


e Sommer- und 


e Winterbetrieb. 


Diese Unterteilung ist zur Ermittlung der Maximalbelastung! und somit zur 
Identifikation kritischer Versorgungssituationen erforderlich. Die Maximalbe- 
lastung ist insofern ein entscheidender Faktor, als die installierte Gesamtleis- 
tung aller Verbraucher in einem Kraftfahrzeug die Leistungsfähigkeit der Ener- 
giequellen deutlich übersteigt, sodass die Auslegung der elektrischen Energie- 
versorgung auf der Basis der Maximalbelastung erfolgen muss. 

In Abbildung 4.4 sind der maximale Strombedarf verschiedener Fahrzeugkate- 
gorien im Sommer- und Winterbetrieb sowie die Maximalbelastung, gemessen 
im erweiterten NEFZ-Zyklus?, dargestellt. Wie der Abbildung zu entnehmen 
ist, steigt der theoretisch maximal mögliche Strombedarf mit der Fahrzeugka- 


' Auslastung der elektrischen Energieversorgung mit höchstmöglichem Gleichzeitigkeitsfaktor. 

2 Dabei handelt es sich um ein standardisiertes Geschwindigkeitsprofil, das dazu dient, den 
Verbrauch bzw. CO>-Ausstoß zu ermitteln. Seit der Einführung von E-Fahrzeugen wurde es 
durch die Worldwide Harmonized Light Vehicles Test Procedure (WLTP) abgelöst. 
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Abbildung 4.4: Stromaufnahme der elektrischen Energieversorgung, ermittelt im erweiterten 
Neuer Europäischer Fahrzyklus (NEFZ)-Zyklus. Dargestellt sind die Stromauf- 
nahmen im Sommer- und Winterbetrieb sowie die theoretisch maximal mögliche 
Stromaufnahme. Die Datenbasis bilden Auswertungen von Messungen mehre- 
rer Fahrzeugmodelle mit unterschiedlicher Ausstattung. Die hierbei untersuchten 
Fahrzeugklassen sind (A) Kompaktklasse, (B) Geländewagen klein, (C) Sportwa- 
gen, (D) Mittelklasse, (E) obere Mittelklasse, (F) Oberklasse und (G) Geländewa- 
gen groß. 


tegorie deutlich an. Dies lässt sich durch die Zunahme der Menge an Verbrau- 
chern erklären. Im Vergleich zwischen Sommer- und Winterbetrieb innerhalb 
der jeweiligen Fahrzeugkategorien ist demgegenüber nur ein geringer Anstieg 
zu beobachten. 

Im Winterbetrieb kann es durch Heizverbraucher wie Scheiben- und Flächen- 
heizungen zu enormen Leistungsaufnahmen kommen. Vor allem zu Beginn 
eines Fahrzyklus sind im Winterbetrieb eine Vielzahl von Heizverbrauchern 
aktiv, was für eine hohe Grundlast sorgt. Im Sommerprofil hingegen sind keine 
Heizverbraucher vorhanden, was sich in einer entsprechend niedrigeren Strom- 
aufnahme widerspiegelt. 

Vergleicht man die benötigten Verbraucherströme zur Dauerleistung des Ge- 
nerators miteinander, wird deutlich, dass die Auslegung einer effizienten elek- 
trischen Energieversorgung im Kraftfahrzeug zu einer deutlich niedrigeren 
Generatorleistung und damit zu einer energetischen Unterdeckung führt. Bei 
maximaler Verbraucherleistung liegt die Quellenleistung also deutlich unter 
der Verbraucherleistung, sodass von einer Unterdeckung gesprochen werden 
kann. In der Regel liegen die Dauerströme aktueller Generatoren je nach Typ 
und Fahrzeugklasse zwischen ca. 110 und ca. 250 Ampere. Um eine Über- 
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lastung der elektrischen Energieversorgung und somit eine Unterspannung 
an relevanten Verbrauchern zu vermeiden, muss die elektrische Energiever- 
sorgung hinreichend überwacht werden, um ggf. deren Quellen entsprechend 
nachregulieren zu können. Zu diesem Zweck werden Energie- bzw. Leistungs- 
managementsysteme eingesetzt. 


4.3 Energie- und Leistungsmanagement 


Eine der Hauptaufgaben der elektrischen Energieversorgung besteht darin, 
alle Verbraucher in Abhängigkeit von der jeweiligen Architektur sowohl sta- 
tionär als auch dynamisch zuverlässig mit elektrischer Energie zu versorgen. 
Im stationären bzw. statischen Fall versorgt der Generator bzw. der Gleich- 
spannungswandler die Verbraucher und lädt parallel die Fahrzeugbatterie. Im 
dynamischen Lastfall werden die Verbraucher je nach den Eigenschaften der 
Vernetzung und der Architektur aus der Fahrzeugbatterie versorgt. Zur Ge- 
währleistung der Spannungsstabilität muss dabei zumindest eine regelbare 
Quelle verfügbar sein. In der klassischen elektrischen Energieversorgung wird 
die Ausgangsspannung des Generators zu diesem Zweck auf einen festen Wert 
von ca. 14 bis 14,5 Volt geregelt. Der Generator selbst besitzt hierfür einen 
Spannungsregler, der in Abhängigkeit von seiner Klemmenspannung den Er- 
regerstrom und somit die Ausgangsleistung regelt [140]. 

Aufgrund der Einführung von Start-Stopp-Funktionen und den damit einher- 
gehenden inaktiven Phasen der VKM während des Fahrbetriebs muss sicher- 
gestellt werden, dass es nicht zu einer zu tiefen Entladung der Fahrzeugbatterie 
kommt bzw. dass der Wiederstart der VKM möglich bleibt. Hierzu dient das 
Energiemanagement (EM), bei welchem Informationen zur Fahrzeugbatterie 
wie Ladezustand (SOC) und Alterungszustand (State-Of-Health (SOH)) er- 
fasst und zur Regelung der Energieverteilung genutzt werden. Ziel des Ener- 
giemanagements ist es, die Fahrzeugbatterie innerhalb des für sie optimalen 
Arbeitsbereichs zu betreiben und die von der VKM bereitgestellte Energie 
möglichst effizient zu nutzen. 

In Abbildung 4.5 ist der Regelkreis der elektrischen Energieversorgung mit 
Energiemanagement und Leistungsmanagement (LM) dargestellt. Das Ener- 
giemanagement regelt die Generator- bzw. Quellenleistung in Abhängigkeit 
von der Spannungslage in der elektrischen Energieversorgung [140], [28]. 
Verbraucher werden in ihrer Aufnahmeleistung dabei nicht begrenzt. Dies ge- 
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schieht erst unter Hinzunahme des Leistungsmanagements. Das Leistungsma- 


Batterie 


Abbildung 4.5: Schematischer Regelkreis der elektrischen Energieversorgung mit VKM- 
gekoppeltem Generator als Hauptenergiequelle 


nagement dient zur Beherrschung dynamischer Lastwechsel. Zu diesem Zweck 
kann entweder die Quellenleistung angehoben oder die Verbraucherleistung 
reduziert werden. Die kurzzeitige Bereitstellung von Energie fiir Leistungs- 
spitzen ist vor allem beim Einsatz von Gleichspannungswandlern möglich, da 
diese eine deutlich höhere Dynamik als Generatoren besitzen und kurzzeitig 
überlastet werden können. 

Zur Einschränkung der Leistungsaufnahme der Verbraucher gibt es mehrere 
Strategien. In Abhängigkeit vom jeweiligen Verbraucherprofil bzw. von der 
Funktion des Verbrauchers kann der Verbraucher sich in seiner Leistungsauf- 
nahme entweder selbst begrenzen oder, wie von [139] vorgestellt, beim Errei- 
chen einer definierten Spannungslage autonom abschalten. Die Begrenzung der 
Leistungsaufnahme von Verbrauchern setzt eine regelbare Leistungselektronik 
voraus. Nur über diese kann eine effiziente Reduktion der Leistungsaufnahme 
erreicht werden. Bei der autonomen Verbraucherabschaltung hingegen schal- 
ten sich bestimmte Verbrauchergruppen bei festgelegten Spannungslagen in 
der elektrischen Energieversorgung selbst ab und nach Erreichen von stabilen 
Spannungswerten wieder zu. 

Eine andere Vorgehensweise ermöglicht das von [84] vorgestellte prädikti- 
ve Leistungsmanagement. Hier wird unter Hinzunahme weiterer Messgrößen 
sowie der Navigation, der Verkehrstelematik usw. eine Vorhersage über das 
zukünftige Lastszenario in der elektrischen Energieversorgung erstellt. Auf 
der Basis dieser Vorhersage werden vom Leistungsmanagement Degradie- 
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rungsstufen durchgeführt und durch das frühzeitige Abschalten bestimmter 
Verbrauchergruppen wird der Auslastungsgrad der elektrischen Energiever- 
sorgung deutlich reduziert. 

Zusammenfassend lässt sich festhalten: Zum Sicherstellen einer zuverlässi- 
gen elektrischen Energieversorgung in Ausnahmesituationen sind sowohl ein 
Energie- als auch ein Leistungsmanagement unentbehrlich. Doch auch während 
des Normalbetriebs ohne Fehlereintritt tragen das Energie- und das Leistungs- 
management zur Stabilität der elektrischen Energieversorgung bei. 


4.4 Anforderungen an die elektrische 
Energieversorgung 


Die Anforderungen an die elektrische Energieversorgung ergeben sich aus den 
verbauten Verbrauchern, deren Funktionen und letztendlich aus der elektri- 
schen Energieversorgung selbst. Wie eingangs erläutert war die Einführung 
einer Starterbatterie bzw. eines Generators historisch betrachtet zum Anlassen 
der VKM sowie zur Versorgung der Lichtelektronik erforderlich. Heutzutage 
gibt es eine Vielzahl weiterer Verbraucher, bestehend aus Sensoren, Steuer- 
geräten und Aktoren, die zur Umsetzung umfangreicher Fahrzeugfunktionen 
eingesetzt werden. In Abbildung 4.6 ist in Anlehnung an [67] und [167] eine 
Auswahl dieser Funktionen dargestellt. Bereits für eine vergleichsweise einfa- 
che Funktion wie das Antiblockiersystem (ABS) werden ein Steuergerät, ein 
Hydraulikaggregat, Hydraulikventile zur Schlupfregelung sowie Drehzahlsen- 
soren an jedem Rad benötigt. Zur Erreichung des besten Kompromisses bei 
der Übertragung von Längs- und Querkräften misst die ABS-Funktion die 
Raddrehzahl und regelt in Abhängigkeit von diesem Wert den Bremsdruck. 
Die elektrische Energieversorgung muss dabei das Hydraulikaggregat und die 
Hydraulikventile mit hinreichend viel elektrischer Energie versorgen. 

Im Falle eines Fehlers in der elektrischen Energieversorgung für das ABS 
ist die Gefährdungslage überschaubar, da durch die feste Kopplung zwischen 
Bremspedal und Hydraulikkreis weiterhin eine hinreichende Bremskraft auf- 
gebracht und unabhängig von der elektrischen Energieversorgung ein sicherer 
Zustand erreicht werden kann. Bezüglich zukünftiger Assistenzsysteme wie 
dem Autobahn- oder dem Stadtpilot bestehen größere Risiken, da diese As- 
sistenzsysteme vermehrt Funktionen übernehmen, die bei einem Ausfall der 
entsprechenden Systeme nicht weiterhin uneingeschränkt zur Verfügung ste- 
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Abbildung 4.6: Darstellung aktuell im Einsatz befindlicher und zukiinftig geplanter Assistenzsys- 
teme bzw. Fahrzeugfunktionen, in Anlehnung an [67]. Bei den hier dargestellten 
Systemen handelt es sich um: Antiblockiersystem (ABS), Electric Power Stee- 
ring (EPS), Bremsassistent (BAS), Abstandsregeltempomat (ACC), Elektronisches 
Stabilitätsprogramm (ESP), Notbremsassistent (CA), Spurhalteassistent (LKA), 
Brake-By-Wire (BW), Steer-By-Wire (SBW), Staupilot (SP), Autobahnpilot (AP) 
und Stadtpilot (CP) 


hen. Damit steigen nicht nur die Anforderungen an die entsprechenden Assis- 
tenzsysteme selbst, sondern auch die Anforderungen an die Zuverlässigkeit der 
elektrischen Energieversorgung. Neben der Spannungsstabilität während der 
Funktionsausführung im Normalbetrieb ist vor allem das Verhalten im Fehler- 
fall entscheidend. Die Anforderungen an die Zuverlässigkeit der elektrischen 
Energieversorgung ergeben sich dabei aus dem verbleibenden bzw. akzepta- 
blen Risiko für einen gefährlichen Zustand. 

Im Folgenden werden die Abhängigkeiten von Funktionen mit hohem Auto- 
matisierungsgrad sowie die damit verbundenen Einflüsse auf die elektrische 
Energieversorgung diskutiert. 


4.4.1 Hochautomatisierte Fahrfunktionen 


Mit der Elektrifizierung vieler Aktoren, vor allem solcher für die Längs- und 
Querdynamik, entstanden neue Möglichkeiten für die Umsetzung hochauto- 
matisierter Fahrfunktionen. Als Erstes wären hier die Assistenzsysteme Ab- 
standsregeltempomat (ACC) und Spurhalteassistent (LKA) - im Deutschen als 
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Spurhalteassistent bezeichnet — zu nennen, die Vorstufen zum autonomen Fah- 
ren darstellen. Das ACC regelt die Fahrzeuggeschwindigkeit auf der Basis von 
mittels Radar durchgefiihrten Abstandsmessungen zum vorausfahrenden Fahr- 
zeug. Auf diese Weise kann es im fließenden Verkehr ohne Eingriff durch den 
Fahrzeugführer die Längsdynamik regeln. Der LKA wertet über Kameradaten 
die Fahrbahnmarkierungen bzw. -begrenzungen aus und regelt die Querdyna- 
mik über die elektronische Servolenkung. Beide Systeme weisen einen hohen 
Automatisierungsgrad in Bezug auf die Aktorik auf. Werden sie miteinander 
kombiniert, ist das Ergebnis ein in Grenzen selbstfahrendes Fahrzeug. 
Während der LKA bei fehlender Fahrbahnmarkierung ausfällt und der Fahr- 
zeugführer die Fahrzeugsteuerung übernehmen muss, regelt das ACC auch 
dann die eingestellte Geschwindigkeit, wenn kein vorausfahrendes Fahrzeug 
als Referenzobjekt vorhanden ist. Die Erhöhung des Automatisierungsgrades 
durch eine Verbesserung der Systemstabilität, die Erfassung von deutlich mehr 
Sensordaten und die grundsätzliche Erhöhung der Systemzuverlässigkeit durch 
Mehrspeicherarchitekturen in der elektrischen Energieversorgung ermöglichte 
die Erweiterung des ACC zum Staufolgefahren (wobei es sich um eine fahr- 
spurgebundene Funktion handelt) sowie später zum Staupilot (SP), der die 
Spur wechseln und das Fahrzeug bis zu Geschwindigkeiten von ca. 60 km/h 
ohne Fahrereingriff steuern kann [167]. 

Teil der Weiterentwicklung von ACC und LKA zum SP ist auch, dass das Sys- 
tem, während es aktiv ist, ebenfalls die Überwachung übernimmt. Es soll den 
Fahrzeugführer somit weiter entlasten. Durch den Wegfall des Fahrzeugführers 
als überwachende Instanz steigen jedoch abermals deutlich die Anforderungen 
an die Systemausführung sowie an die Reaktionsweise und -geschwindigkeit 
im Fehlerfall. Das System darf, während es aktiv ist, nicht plötzlich ausfallen, 
sondern muss jederzeit zumindest in der Lage sein, einen sicheren Zustand zu 
erreichen. Hierfür müssen eventuelle Fehlerzustände rechtzeitig erkannt wer- 
den und das Fahrzeug muss in Abhängigkeit von der Fahrsituation gebremst 
werden oder es muss ein Ausweichmanöver durchgeführt werden. Dabei muss 
die elektrische Energieversorgung jeden Verbraucher der beteiligten Funktio- 
nen zuverlässig mit Energie versorgen. 

Die nächsthöhere Entwicklungsstufe ist der Autobahnpilot (AP). Hierbei han- 
delt es sich um eine Erweiterung des SP. Während das SP auf das Fahren im 
Stau begrenzt ist, soll das AP das autonome Fahren auf der Autobahn im All- 
gemeinen ermöglichen. Bereits für den SP waren ein umfangreiches Sensor- 
und Rechennetzwerk sowie eine Reihe von Aktoren zur Regelung der Fahrtra- 
jektorie notwendig. Der AP erfordert im direkten Vergleich hierzu den Einsatz 
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einer nochmals größeren Anzahl von zusätzlichen Komponenten. Anders als 
der ACC ist der AP nicht mehr auf vorausfahrende Fahrzeuge angewiesen, 
sondern erkennt die Umgebung sowie den Verkehr auf der Basis von Video- 
und anderen Sensordaten. In Abhängigkeit von den so ermittelten Eingangs- 
daten regelt der AP die Längs- und Querdynamik des Fahrzeugs unabhängig 
vom Fahrzeugführer. Für die hierzu nötige Objekt- und Situationserkennung 
sind umfangreiche Absicherungen erforderlich. So muss die Datenaufberei- 
tung in der Lage sein, verfälschte oder fehlerhaft übermittelte Sensorwerte vor 
der Funktionsausführung aufzulösen. Zudem müssen die zur Ausführung der 
Funktion erforderlichen Berechnungen redundant bzw. abgesichert durchge- 
führt werden. Ein Einfachfehler darf nicht zu einer fehlerhaften Ansteuerung 
eines Aktors führen. Neben den Eigenfehlern der Sensoren, der Steuergeräte 
und der Vernetzung müssen dabei auch Fehler durch eine eingeschränkte bzw. 
ausgefallene elektrische Energieversorgung berücksichtigt werden. 

Die letzte Erweiterungsstufe soll das vollständig autonome Fahren im Stadt- 
verkehr durch den Stadtpilot (CP) ermöglichen. Um dies zu realisieren, muss 
die Funktion dazu in der Lage sein, einer Fahrtrajektorie auch bei diversen 
Störeinflüssen durch den umliegenden Verkehr zu folgen und das Verhalten 
anderer Verkehrsteilnehmer richtig zu interpretieren, um angemessen reagie- 
ren zu können. Die Aufgabe des Fahrzeugführers beschränkt sich dann auf die 
Eingabe von Zieldaten. Darüber hinaus werden bereits Konzepte diskutiert und 
Prototypenfahrzeuge vorgestellt, die teilweise vollständig auf Schnittstellen zur 
Steuerung des Fahrzeugs verzichten. 

Zum Betrieb von SP, APund CP sind eine Vielzahl von Sensoren, Steuergerä- 
ten und Aktoren erforderlich. Jeder Sensor muss dabei, innerhalb bestimmter 
Toleranzgrenzen, korrekte Daten liefern und entweder redundant ausgeführt 
oder zumindest so konstruiert sein, dass die Korrektheit des Sensorwertes 
durch Diagnosen plausibilisiert werden kann. Kein Einfachfehler darf zum 
Versagen bzw. zu falschen Sensordaten führen. Um dies sicherzustellen, wer- 
den Sensoren entweder redundant verbaut oder ihre Ausgangsgrößen werden 
über vergleichbare physikalische Messgrößen validiert. 

Je nach Funktion werden bereits in aktuell verfügbaren Fahrzeugmodellen um- 
fangreiche Sensor-Setups verwendet. Zur Bereitstellung von ACC, LKA sowie 
Abbiege- und Parkassistenten wird ein Teil der in Abbildung 4.7 dargestell- 
ten Sensoren in Serienfahrzeugen verbaut. Sowohl die ACC-Funktion als auch 
der Kreuzungsassistent benötigen zur Funktionsausführung ein Radarsystem. 
Während für den Kreuzungs- oder Abbiegeassistenten ein Mid-Range-Radar 
ausreicht, wird für den Spurhalteassistenten mindestens eine Frontkamera be- 
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notigt. Fiir Ein- bzw. Ausparkassistenten werden bereits Ultraschallsensoren 
verbaut. 

Grundsatzlich basiert jedes Sensor-Setup auf dem Ausstattungsumfang der 
jeweiligen Modellreihe. In Anbetracht der gesamten Funktionalität sind un- 
ter Umständen allerdings zusätzliche oder redundante Sensoren erforderlich. 
Beispielsweise werden Laserscanner wie z. B. ein Light detection and ran- 
ging (Lidar)-System notwendig, wenn die Fahrzeugtrajektorie aufgrund von 
Einflüssen des Verkehrs bzw. der Umgebung geändert werden soll. Laserscan- 
ner werden dabei mehrheitlich zur Erkennung der Fahrzeugumgebung einge- 
setzt. 

Die in Abbildung 4.7 dargestellten Sensoren stellen eine Auswahl an mögli- 
chen Sensoren für das automatisierte Fahren ab Level 3 bzw. 4 dar (vgl. hierzu 
Tabelle 1.1 in Kapitel 1). Unabhängig davon, welche Sensoren verbaut sind, 


© Long-Range Radar @ Mid-Range Radar 
@ Laserscanner © Ultraschall @ Kamera 


Abbildung 4.7: Exemplarische Darstellung der notwendigen Sensoren fiir hochautomatisierte 
Fahrfunktionen, nicht maßstabsgetreu 


gilt, dass diese zum Zeitpunkt der Funktionsausführung zuverlässige Mess- 
größen liefern müssen. Hierfür ist eine stabile und ausfallsichere elektrische 
Energieversorgung erforderlich, was nur durch eine unabhängige elektrische 
Energieversorgung sichergestellt werden kann. Die Energie für die Sensoren 
stammt entweder aus den sensoreigenen Steuergeräten oder, wie im Fall der 
Ultraschallsensoren, aus Zentralsteuergeräten. Je nach Umfang der jeweiligen 
Funktion sind dabei mehrere Steuergeräte bzw. Prozessoren an der Funktions- 
ausführung beteiligt. Daher wird das Steuergerät bzw. dessen Architektur red- 
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undant ausgeführt. In diesem Zusammenhang hat Kohn in [85] und [86] eine 
redundante und fail-operational-fähige Steuergerätearchitektur für ein Steer- 
By-Wire (SBW)-System vorgestellt. Die dort verwendete Architektur basiert 
auf zwei Teilsystemen A und B. In Abbildung 4.8 ist diese Architektur in An- 
lehnung an [85] und [125] dargestellt. Jedes Teilsystem besitzt ein Steuergerät 
mit Sensoren und eine Leistungsstufe zur Ansteuerung einer eigenen Syn- 
chronmaschine. Grundsätzlich können die Synchronmaschinen auch in einer 
Komponente zusammengefasst werden. Indem die Wicklungen der Maschine 
in einem Gehäuse voneinander getrennt aufgebaut werden, wird eine durchge- 
hende Unabhängigkeit in der Funktionsbereitstellung erreicht. Um bei einem 
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Abbildung 4.8: Redundante Steuergerätearchitektur für die elektrische Lenkung, in Anlehnung 
an [85] und [125] 


Einfachfehler in der elektrischen Energieversorgung, im Steuergerät selbst oder 
in der Synchronmaschine weiterhin eine Regelung der Querdynamik zu ermög- 
lichen, muss die Energie aus zwei voneinander unabhängigen oder zumindest 
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von zwei im Fehlerfall voneinander trennbaren Quellen bereitgestellt werden. 
Grundsätzlich muss jede Funktion inklusive der daran beteiligten Systeme 
hinsichtlich der notwendigen Versorgungssicherheit untersucht werden. Wel- 
che Fehler, die bezüglich der elektrischen Energieversorgung auftreten könn- 
ten, ausgeschlossen werden oder zumindest beherrschbar sein müssen, leitet 
sich aus der Gefahren- und Risikoanalyse für das Gesamtsystem bzw. aus 
den Gefahren- und Risikoanalysen für einzelne Funktionen ab. Für hoch- 
automatisierte Fahrfunktionen wie den Staupiloten ergeben sich aus diesen 
Gefahren- und Risikoanalysen umfassende Anforderungen an die Zuverläs- 
sigkeit der elektrischen Energieversorgung. Sicherheitsrelevante Verbraucher 
auf Systemebene müssen gemäß der ISO 26262 entweder mit ASIL-C oder 
ASIL-D abgesichert werden (vgl. hierzu Unterkapitel 4.6). 

Die eine bestimmte Funktion ermöglichenden bzw. umsetzenden Verbraucher 
müssen während des Fahrbetriebs in einem stabilen Spannungsbereich versorgt 
werden. Zur Erfüllung dieser Anforderung ist eine hinreichend große Energie- 
menge aus der Batterie, dem Generator bzw. dem Gleichspannungswandler 
erforderlich. Mit geeigneten Energiemanagementsystemen bzw. leistungsfähi- 
gen Quellen wie Generatoren oder Gleichspannungswandlern kann eine sta- 
bile Spannungslage auch während anspruchsvoller Lastzyklen gewährleistet 
werden. Zur Sicherstellung der Spannungsstabilität muss jedoch nicht nur 
die Leistungsfähigkeit der Quellen sichergestellt sein, sondern darüber hinaus 
muss auch eine hinreichende Dimensionierung der Vernetzung gewährleistet 
sein. Sowohl während statischer als auch während dynamischer Versorgungs- 
phasen muss der Spannungsabfall, der zum einen durch den Widerstand der 
Verbindung sowie zum anderen durch deren induktiven Anteil über die Fahr- 
zeuglebensdauer hinweg verursacht wird, möglichst gering sein. Im Hinblick 
auf die Vernetzung gelten dabei umfangreiche Anforderungen an 


e die Versorgungsleitungen sowie an den Leitungsquerschnitt und die Län- 
ge der Leitungen, 


e die Anbindung der Masse (OV-Potential), dabei im Wesentlichen an die 
Übergangswiderstände, an den Widerstand der Schraub- oder Steckver- 
bindung, an den jeweiligen Massebolzen und an den Widerstand, der 
durch die Karosserie verursacht wird, sowie 


e die Übergangswiderstände der Steck- und Schraubverbindungen. 
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Die Übergangswiderstände verändern sich vor allem durch Alterung, weshalb 
es wichtig ist, nicht nur auf die Quellenleistung, sondern auch auf die Vernet- 
zung zu achten. 


4.5 Fehler in der elektrischen Energieversorgung 


Zur Gewährleistung der elektrischen Energieversorgung sicherheitsrelevanter 
Verbraucher muss jede Architektur auf ihre Fehlersensitivität gegenüber den 
zu erfüllenden Sicherheitszielen untersucht und bewertet werden. Fehler in 
der elektrischen Energieversorgung bzw. an Verbrauchern können zu einer 
kritischen Versorgungslage und damit zur Gefährdung der Fahrzeugsicherheit 
führen. Gefährdungen durch Überlastungen, die in der Folge zu Bränden füh- 
ren können, betreffen die Zuleitungen sowie die Verbraucher selbst. Bezüglich 
aller Komponenten müssen deshalb geeignete Konzepte vorliegen, um im Fall 
zu hoher Temperaturen keinen Fahrzeugbrand zu verursachen. Diese Grundan- 
forderung wird auch als No Thermal Incidents (NOTI) bezeichnet und betrifft 
alle Komponenten der elektrischen Energieversorgung. 

Die Anforderung der Sicherstellung einer zuverlässigen Versorgung im Feh- 
lerfall konkurriert mit der Anforderung, die Leitungen vor Übertemperatur zu 
schützen. Bei der Anbindung leistungsintensiver Verbraucher an die elektrische 
Energieversorgung wird der Leitungsschutz zum Großteil über Schmelzsiche- 
rungen realisiert. Bei Kleinverbrauchern hingegen, die aus Zentralsteuergerä- 
ten versorgt werden, kommen zum Schutz der Leitungen vor Überstrom häufig 
Smart-FETs? zum Einsatz. Um Verbraucher gezielt schalten und deren Versor- 
gung überwachen zu können, werden neben Zentralsteuergeräten zunehmend 
auch elektrische Leistungsverteiler Power Distribution Unit (PDU) auf Halb- 
leiterbasis eingesetzt 

Zwischen der jeweils verwendeten Architektur, Topologie und Spannungs- 
ebene der elektrischen Energieversorgung gibt es diverse Wechselwirkungen, 
deren Auswirkungen auf die elektrische Energieversorgung berücksichtigt wer- 
den müssen. Zur Bewertung der Kritikalität eines Fehlers werden die Fehlerfäl- 
le daher hinsichtlich ihrer Auswirkung auf die elektrische Energieversorgung 
und die Versorgungssicherheit diskutiert. Unterschieden wird dabei zwischen 


3 Smart-FETs sind Mosfets mit integrierter Eigenlogik. Sie werden als Relais- und Sicherungser- 
satz eingesetzt. 
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Fehlern, die zu einer Unterspannung in der elektrischen Energieversorgung 
fiihren, und solchen, die zu einer Uberspannung fiihren. 

Alle Komponenten in der elektrischen Energieversorgung können von Fehlern 
betroffen sein, die das Versagen der elektrischen Energieversorgung zur Folge 
haben und dadurch zu einer kritischen Versorgungslage führen können. Auf der 
Basis der in Abbildung 4.9 dargestellten exemplarischen elektrischen Energie- 
versorgung werden unter Berücksichtigung der in diesem Kapitel eingeführten 
Teilsysteme 


e Energiespeicher, 
e Energiewandlung, 
e Vernetzung sowie 


e Leistungs- und Energiemanagement 


mögliche Fehlerfälle hergeleitet. Hierbei werden die wesentlichen Komponen- 
ten einer 12V-Spannungsebene sowie drei verschiedene Varianten möglicher 
Energiequellen berücksichtigt. Eine Basisarchitektur beinhaltet eine Batte- 
rie Bı als Energiespeicher und einen 12V-Generator zur Energiewandlung. 
Als weitere Stützelemente können zusätzlich Pufferspeicher Os oder weitere 
Energiespeicher B2 eingesetzt werden. 

Wird in der Fahrzeugarchitektur eine zweite Spannungsebene realisiert, ist der 
in Abbildung 4.9 dargestellte Gleichspannungswandler (9) erforderlich. Über 
diesen werden der Energiespeicher geladen und die 12V-Spannungsebene ver- 
sorgt, vorausgesetzt, der Generator speist Energie in die höhere Spannungslage 
ein bzw. (in elektrisch angetriebenen Fahrzeugen) bei einem der Energiespei- 
cher handelt es sich um die Traktionsbatterie. Wie bereits mehrfach ange- 
sprochen, kann prinzipiell jede in der elektrischen Energieversorgung verbaute 
Komponente fehlerhaft werden. Fehler in der elektrischen Energieversorgung 
wirken sich dabei vor allem auf die Spannungsstabilität negativ aus: Entweder 
tritt aufgrund von Überlastung eine kurzzeitige Unterspannung ein oder das 
Energiegleichgewicht wird grenzwertig. In beiden Szenarien handelt es sich 
um einen kritischen Zustand, der zum Ausfall von Verbrauchern führen kann. 
Als Standards für zulässige Spannungsbereiche gelten die ISO 16750-1 [70] 
bzw. die VDA LV-124, LV-148 und VDA 320 [166]. Darüber hinaus existieren 
herstellerspezifische Ausführungen als Werksnormen, z. B. 
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Karosserie 


Abbildung 4.9: Exemplarische Darstellung der Komponenten eines elektrischen Energieversor- 
gungssystems mit 12V- bzw. 48 V-Spannungsebene, zwei Energiespeichern, einem 
Stützelement und optionalem Gleichspannungswandler 


e bei der BMW AG die Werksnorm GS 95024-2 [19], 
e bei der Mercedes-Benz AG die MBN 10567 [105] und 
e bei der VW AG die VW 80000 [172]. 


In den genannten Standards werden verschiedene Priifszenarien fiir elektrische 
Komponenten definiert, z. B. die Priifung E-02 fiir transiente Uberspannung 
oder die Prüfung E-03b für transiente Unterspannung. 

Aus den vorgegebenen Priifzyklen lassen sich allgemeingiiltige Spannungsbe- 
reiche ableiten, was wiederum als Grundlage fiir die Bestimmung dessen dient, 
was als eine zuverlässige elektrische Energieversorgung sicherheitsrelevanter 
Verbraucher anerkannt werden kann. Beispielsweise muss ein im Rahmen der 
angegebenen Standards qualifizierter sicherheitsrelevanter Verbraucher wäh- 
rend des Fahrbetriebs in einem Spannungsbereich zwischen 9,8 und 16 Volt 
ohne Einschränkungen die volle Funktionsfähigkeit aufweisen. Für Spannungs- 
werte zwischen 16 und 18 Volt gelten folgende Spannungszeitbereiche: 


> 18V, t < 400ms 
u(t) => 17V, t < 600ms (4.1) 
> 16V, t < 2s. 
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Fiir Spannungswerte kleiner als 9,8 Volt gelten folgende Spannungszeitberei- 
che: 


< 
itis = 9V, t < 500ms (4.2) 


>0V, = t < 100s. 


Liegen die Werte der Versorgungsspannung außerhalb der angegebenen Span- 
nungszeitbereiche werden die Verbraucher nicht im Rahmen der für sie vorge- 
gebenen Spezifikationen betrieben und sind somit als ausgefallen zu werten. 
Neben Unterspannungen sind auch Überspannungen kritisch. Alle Teilsyste- 
me und deren Komponenten sind auf einen festen Spannungsbereich, aber 
auch auf eine Maximalspannung ausgelegt. Bei Spannungswerten, welche die 
spezifizierte Spannungslage übersteigen, werden die Eingangsbeschaltungen 
der Steuergeräte irreversibel geschädigt und fallen fehlerhaft aus. Zu solchen 
Fällen von Überspannungen kommt es, wenn leistungsintensive Verbraucher 
abgeschaltet werden und dabei 


e der Generator aufgrund seiner Zeitkonstante und Restremanenz die Aus- 
gangsleistung nicht schnell genug reduziert und 


e die Induktivität der Zuleitung durch die gespeicherte Energie den Strom 
weiter aufrechterhält, bis die Restenergie in der Zuleitung abgebaut ist. 


Werden Gleichspannungswandler eingesetzt, kann das Problem der Überspan- 
nung durch eine schnellere Regelung und die damit verbundene Reduktion der 
Stromanstiegszeiten begrenzt werden. 

Der Ausfall von Komponenten kann verschiedene Ursachen haben. Die kor- 
rekte Identifikation der Fehlerursache wird dabei durch die Komplexität der 
beteiligten Wirkmechanismen — die zum einen durch die Komplexität der 
Komponenten selbst und zum anderen durch die vorliegenden Einflussparame- 
ter bedingt ist — zusätzlich erschwert. 

Für die in Abbildung 4.9 dargestellten Komponenten lassen sich mehrere Kom- 
ponentenfehler angeben. In der folgenden Beschreibung werden die wesentli- 
chen Fehler und deren Auswirkungen diskutiert. Dabei ist zwischen den Feh- 
lerbildern „offen“, „kurzgeschlossen“ und „Parameteränderung infolge von 
Alterung“ zu unterscheiden . 

Beim offenen Ausfall des Energiespeichers (1) wird die elektrische Energiever- 
sorgung nur aus dem Generator gespeist, erfolgt also ohne weiteres Stützele- 
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ment bzw. ohne zusätzlichen Energiespeicher. Da Leistungsspitzen, verursacht 
z. B. durch ein Lenkmanöver, über den Generator aufgrund dessen geringer 
Dynamik nur bedingt versorgt werden können, kann es in der elektrischen 
Energieversorgung zum Auftreten von Unterspannungen kommen. Die Fehler- 
ursache liegt dabei entweder im Energiespeicher selbst (1), in der Kontaktie- 
rung und Zuleitung (2) oder der Fehler wird durch eine offene Sicherung (4) 
verursacht. 

In Kraftfahrzeugen werden Hauptsicherungen entweder als einzelne Schmelz- 
sicherungen oder als Sicherungsverteiler (3, 6) auf einem gemeinsamen Träger 
ausgeführt. Führt eine an den Sicherungsverteiler angeschlossene Komponen- 
te einen zu hohen Strom, kommt es zur Erwärmung des gesamten Verteilers. 
In der Folge kann es zur Vorschädigung nicht beteiligter Sicherungselemente 
kommen, wodurch die Wahrscheinlichkeit für den offenen Ausfall anderer Si- 
cherungen erhöht wird. 

Fehler im Teilsystem Energiespeicher können zur Gefährdung der elektrischen 
Energieversorgung durch Unterspannung führen. Fällt bspw. aufgrund eines 
Kurzschlusses der Energiespeicher selbst aus oder ist dessen Zuleitung durch 
eine Schädigung mit der Fahrzeugmasse verbunden, kommt es aufgrund des 
hohen Sicherungswerts zu einem deutlichen Spannungseinbruch in der elek- 
trischen Energieversorgung. Um hierdurch bedingte Gefahrensituationen zu 
vermeiden, müssen die Zuleitungen sowie der Bereich um den Hauptverteiler 
in konstruktiv geschützten Bereichen platziert bzw. in solche Bereiche verlegt 
werden. 

Ein anderes Gefahrenszenario ist ein offener Ausfall des Generators. In diesem 
Szenario ist die elektrische Energieversorgung allerdings nicht direkt gefähr- 
det, da die Versorgungsspannung aufgrund der Kapazitäten der typischerweise 
verbauten Energiespeicher sowie aufgrund der in der elektrischen Energie- 
versorgung bestehenden Dauerlasten über einen längeren Zeitraum hinweg 
aufrechterhalten werden kann. Zur Verdeutlichung dieser Situation sind in 
Abbildung 4.10 die Entladedauern für verschiedene Energiespeicher über die 
Dauerlast der elektrischen Energieversorgung dargestellt. Wie deutlich zu er- 
kennen ist, hängt die Entladedauer von der Höhe des Entladestroms sowie vom 
Alterungszustand der jeweiligen Blei-Säure-Batterie ab. Zudem wird ersicht- 
lich, dass die elektrische Energieversorgung auch bei hohen Belastungen über 
eine hinreichend lange Dauer hinweg eine Spannung von über 9,8 Volt bereit- 
stellen kann, wodurch eine Gefährdung durch eine statische Unterspannung 
von kleiner 9,8 Volt erst nach mehreren Minuten eintritt. 

Fällt im Gegensatz dazu das Teilsystem Generator aus, z. B. durch den Kurz- 
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200 T 


T 
SLI/EFB 72Ah, 4,7mQ, neu 
EFB 70Ah, 3,4mQ, neu 
AGM 70Ah, 3,5mQ, neu 
AGM 55Ah, 2,8mQ, neu 
GEL 60Ah, 5mQ, neu 

= = = SLI/EFB 72Ah, 9,4mQ, alt 
= = = EFB 70Ah, 6,8mQ, alt 

= = = AGM 70Ah, 7mQ, alt 

= = = AGM 55Ah, 5,6mQ, alt 
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Abbildung 4.10: Entladedauer verschiedener Blei-Säure-Batterien in neuem sowie in gealtertem 
Zustand, simuliert anhand eines vereinfachten Batterie- und Bordnetzmodells. 
Zusätzlich eingezeichnet sind die gemessenen mittleren Grundlasten aus den in 
Abschnitt 5.1.3 ausgewerteten Versuchsfahrten mit einem Audi A3 und einem 
Audi A8. 


schluss einer Gleichrichterdiode, wird das System der elektrischen Energie- 
versorgung hoch belastet und es ist mit deutlichen Spannungseinbrüchen zu 
rechnen. 

Unzulässige Unterspannungen können in der elektrischen Energieversorgung 
aufgrund unzureichender Quellenleistung und aufgrund eines kurzgeschlosse- 
nen Verbrauchers mit hohen Sicherungswerten auftreten [148]. Neben kriti- 
schen Fehlern der Quellen wird die Spannungsstabilität aber auch durch den 
Kurzschluss von Verbrauchern gefährdet. Hierbei korreliert die Unterspannung 
mit dem Absicherungswert und dem Kurzschlusspfadwiderstand. Doch nicht 
nur Verbraucher, sondern auch deren Zuleitungen können fehlerhaft werden. 
Zum Schutz von Zuleitungen werden gewöhnlich Schmelzsicherungen einge- 
setzt, die aufgrund ihrer Auslösecharakteristik bei einem Kurzschluss ebenfalls 
die Stabilität und damit die Versorgungssicherheit der elektrischen Energie- 
versorgung gefährden. 

Mit der Erweiterung der klassischen 12V-Architektur um weitere Energiespei- 
cher, die als Pufferspeicher fungieren, können Unterspannungen für sicher- 
heitsrelevante Verbraucher reduziert, jedoch nicht verhindert werden. Ist die 
Größe des Speichers unzureichend oder ist dessen Anbindung ungeeignet, ist 
die Möglichkeit von Kurzschlüssen nach wie vor gegeben. Außerdem können 
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zusätzliche Speicher durch Eigenfehler ebenfalls Unterspannungen in der elek- 
trischen Energieversorgung verursachen. 

Die Hinzunahme einer weiteren Spannungsebene, z. B. 48 Volt oder 400 Volt, 
geht mit dem Einsatz von Gleichspannungswandlern (9) einher. Hierbei kann 
es beziiglich des Gleichspannungswandlers zu mehreren Fehlerszenarien kom- 
men. Zum einen ist ein Kurzschluss der Eingangs- und Ausgangsspannung ge- 
gen Masse und zum anderen ein Kurzschluss gegen das höhere Potential még- 
lich. Bei einem Kurzschluss gegen Masse wird entweder die Niederspannungs- 
oder die Hochspannungsseite niederohmig. Da der Gleichspannungswandler 
hochgradig abgesichert werden muss, führt ein Kurzschluss zu einem unzu- 
lässig tiefen Spannungseinbruch, infolgedessen die Versorgung sicherheitsre- 
levanter Verbraucher nicht länger sichergestellt werden kann. Die Verbraucher 
und deren Eingangsbeschaltung können zusätzlich irreversibel geschädigt wer- 
den, wenn beide Spannungspotentiale (12 Volt und O Volt) durch einen Fehler 
miteinander verbunden sind. 

Mit Blick auf den Verbraucher (7) ist zu sagen, dass dieser dann nicht mehr ver- 
sorgt wird, wenn die Zuleitung zum Verbraucher, dessen Leitungsschutz oder 
die Anbindung an die Fahrzeugmasse (8) fehlerhaft sind. Generell verursacht 
ein aufgrund eines Kurzschlusses ausgefallener Verbraucher je nach Höhe der 
Absicherung eine Unterspannung in der elektrischen Energieversorgung. Die 
elektrische Energieversorgung für sicherheitsrelevante Verbraucher muss also 
dazu in der Lage sein, die Versorgungsspannung für alle Verbraucher während 
eines Kurzschlusses stabil zu halten oder den Fehler zu isolieren. 


4.6 Risikobewertung für hochautomatisierte 
Funktionen 


Für die elektrische Energieversorgung von hochautomatisierten Funktionen ist 
neben der Spannungsqualität vor allem die Zuverlässigkeit wesentlich. Beim 
Einsatz von Assistenzsystemen bzw. Funktionen, welche selbstständig die 
Längs- und Querführung regeln, muss zu jedem Zeitpunkt der Fahrzeugaktivi- 
tät eine hinreichende elektrische Energieversorgung gewährleistet sein. Befin- 
den sich Verbraucher in einer kritischen Versorgungslage, können wesentliche 
Fahrzeugfunktionen nicht mehr ausgeführt werden und das Fahrzeug befindet 
sich in einem kritischen Gesamtzustand. Die Kritikalität für eine Gefährdung 
kann dabei abhängig vom ggf. notwendigen Fahrmanöver sowie von den je- 
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weils vorliegenden Umweltbedingungen deutlich zunehmen. Wird bspw. mit 
aktivem SP oder AP ein Bremsvorgang bzw. ein Ausweichmanöver nötig, um 
den sicheren Fahrzeugzustand zu erreichen, müssen beide Systeme zuverlässig 
funktionieren. 

Das Risiko für die Gefährdung von Leib und Leben lässt sich nach der in 
Abschnitt 2.3.3 vorgestellten Methode auf der Basis der ISO 26262 Teil 3 ein- 
stufen. Aus dieser Einstufung lassen sich wiederum entsprechende Sicherheits- 
ziele ableiten. Zu diesem Zweck werden die Fehlfunktionen der wesentlichen 
Fahrzeugsysteme mittels drei Haupt- und je einer Unterkategorie bewertet. 
Diese sind 


e die Fehlerauswirkungen (classes of severity), 


— die von „keine Verletzungen (SO)“ bis „lebensbedrohliche Verlet- 
zungen (S3)“ reichen, 


e die Eintrittswahrscheinlichkeit (classes of probability of exposure), 


— die von „unwahrscheinlich (EO)“ bis „hohe Wahrscheinlichkeit 
(E4)“ reicht, und 


e die Kontrollierbarkeit (classes of controllability), 


— die von „grundsätzlich kontrollierbar (C0)“ bis „schwer oder nicht 
kontrollierbar (C3)“ reicht. 


Eine Gefährdungslage tritt ein, wenn eines der Assistenzsysteme 


e ausfällt, 
e eine zu geringe oder aber 


e eine zu hohe Systemleistung aufweist. 


Bei hochautomatisierten Assistenzsystemen wie SP und AP ist während der 
Funktionsausführung zur Sicherstellung einer sicheren Fahrzeugführung der 
Einsatz mehrerer Sensoren, Steuergeräte und Aktoren notwendig. Fehler in 
diesen Komponenten können zu verschiedenen schweren Unfällen führen. Der 
Schweregrad des Unfalls ist dabei von der Fahrzeuggeschwindigkeit und der 
Verkehrssituation sowie vom notwendigen Ausweichmanöver abhängig [61], 
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[53]. Zur Einstufung der Gefährdung wird angenommen, dass die Systeme SP 
und AP jeweils aktiv sind und das Kraftfahrzeug mit einer Geschwindigkeit 
von mehr als 40 km/h unterwegs ist. Darüber hinaus wird angenommen, dass 
kein Eingriff seitens des Fahrzeugführers erfolgt, da nach [63] die Zeit, ehe 
der Fahrzeugführer die Kontrolle übernehmen könnte, deutlich über der Reak- 
tionszeit liegt, deren Einhaltung notwendig wäre, um das Fahrzeug rechtzeitig 
in einen sicheren Zustand zu überführen. 

Auf der Basis dieser Definition der erforderlichen Randbedingungen, die vor- 
herrschen müssen, um eine Einstufung der Gefährdungslage vorzunehmen, 
können nun die Sicherheitsziele für die elektrische Energieversorgung abge- 
leitet werden. Hierfür muss zunächst hinsichtlich aller beteiligten Systeme das 
Risiko bewertet werden, das von Gefährdungszuständen bei Fehlfunktionen 
oder bei einem Ausfall der folgenden wesentlichen Fahrzeugsysteme besteht. 
Diese sind 


e das Brems-, 
e das Lenk- und 
e das Antriebssystem (via VMK oder E-Maschine). 


Eine Gefährdung tritt ein, wenn das Bremssystem kein Bremsmoment (G1), ein 
zu geringes Bremsmoment (G2), ein zu hohes Bremsmoment (G3) oder ein 
unsymmetrisches Bremsmoment (G4) aufbringt. Infolge dieser Fehler kann 
entweder eine Kollision mit dem vorausfahrenden Fahrzeug nicht mehr ver- 
hindert werden oder das folgende Fahrzeug fährt auf (G1 bis G3). Ist das 
Bremsmoment zu hoch oder unsymmetrisch, kann zusätzlich ein Unter- oder 
Übersteuern und dadurch ein instabiler Fahrzeugzustand verursacht werden. 
Somit ist die Schadensschwere für G1 bis G4 mit S3 zu bewerten. 

Das Lenksystem verursacht eine Fahrzeuggefährdung, wenn kein (G5), ein zu 
geringer (G6) oder ein zu hoher Lenkwinkel (G7) eingestellt wird. Muss ein 
Ausweichmanöver durchgeführt werden, z. B. ein Spurwechsel, kann dies bei 
Eintreten von G5 und G6 nicht realisiert werden. Wie beim Versagen des 
Bremssystems muss in diesem Fall von einem hohen Verletzungsrisiko ausge- 
gangen werden und die Gefährdungslage ist entsprechend mit S3 zu bewerten. 
Im Fall G7 kann ein Ausweichmanöver zwar ggf. durchgeführt werden, durch 
den zu hohen Lenkwinkel wird das Fahrzeug unter Umständen jedoch instabil. 
Auch hier besteht also das höchste Verletzungsrisiko S3. 

Das Antriebssystem führt zu einer Gefährdung, wenn es keine (G8), eine zu 
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niedrige (G9) oder eine zu hohe Antriebskraft (G10) aufbringt. Kann keine 
bzw. nur eine zu geringe Antriebskraft aufgebracht werden, führt dies mögli- 
cherweise zu einer kritischen Verkehrssituation und damit zu einer Gefahr für 
alle Beteiligten. Bringt das System eine zu hohe Antriebskraft auf, kann das 
Fahrzeug instabil werden oder einen Auffahrunfall mit dem vorausfahrenden 
Fahrzeug verursachen. Da für die Fälle G8 bis G10 ein hohes Verletzungspo- 
tential vorliegt, wird auch hier das höchste Verletzungsrisiko S3 als Fehleraus- 
wirkung angenommen. Da AP und SP im fließenden Verkehr aktiv sind und 
somit ein Großteil der Verkehrssituation betroffen ist, wird die Eintrittswahr- 
scheinlichkeit ebenfalls als hoch und dementsprechend mit E4 eingestuft. Da 
im Fall des Einsatzes von AP und SP das System eigenständig einen sicheren 
Zustand erreichen muss, wird die Kontrollierbarkeit mit C3, also als nicht kon- 
trollierbar gewertet. 

Um eine Gefährdung des Fahrzeugs bzw. des Verkehrs zu vermeiden, müssen 
zusätzlich zum Brems-, Lenk- und Antriebssystem weitere Verbraucher wie 
das Lichtsystem (Front und Heck) mit Energie versorgt werden. Bei nicht vor- 
handener oder schlechter Straßenausleuchtung kann durch eine fehlende Fron- 
tausleuchtung die Erfassung von Sensordaten, z. B. zur Ermittlung der Spur 
mittels Kameradaten, deutlich beeinträchtigt werden. Nicht funktionierende 
Rückleuchten bzw. bei einem Bremsvorgang nicht funktionierende Brems- 
leuchten können ebenfalls zu einer Verkehrsgefährdung führen. Zur Vereinfa- 
chung werden die möglichen Gefährdungen, die durch einen Ausfall der diver- 
sen Beleuchtungseinrichtungen verursacht werden können, zu der Kategorie 
„Ausfall des Lichtsystems (G11)“ zusammengefasst. Die Fehlerauswirkung 
ist bezüglich dieser Kategorie aufgrund eines möglichen Unfalls mit S3 zu 
werten. Da ein Ausfall des Lichtsystems vor allem bei Fahrten in Dunkelheit 
einen negativen Einfluss hat und sehr viele Pendlerfahrten (insbesondere im 
Winterhalbjahr) bei Dunkelheit unternommen werden, wird die Eintrittswahr- 
scheinlichkeit mit E3 gewertet. Die Kontrollierbarkeit wird hingegen mit C2 
eingestuft, da eine Unterversorgung des Lichtsystems lediglich einen kleinen 
Anteil der Sensoren des SP bzw. AP beeinträchtigt; an sich bleibt das Fahrzeug 
jedoch steuerbar. 

Auf der Basis der in Tabelle 4.1 zusammengefassten Gefährdungen lassen 
sich die ASIL-Einstufungen sowie die Sicherheitsziele ableiten. Das jeweilige 
Sicherheitsziel ist hier die Vermeidung einer Gefährdungslage durch G1 bis 
G11. Unter der Annahme, dass eines der genannten Systeme aufgrund einer 
zu geringen elektrischen Energieversorgung ausfällt und somit eine Gefähr- 
dungssituation vom Typ G1 bis G11 eintreten kann, muss auch bezüglich der 
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Systeme Systemleistung | Gefährdung | S | E | C | ASIL 
keine Gl S3|E4IC3| D 
zu gering G2 S3|E4|C3| D 
Bremssystem 
zu hoch G3 S3|E4IC3| D 
unsymmetrisch | G4 S3|E4IC3| D 
keine G5 S3|E4|C3| D 
Lenksystem zu gering G6 S3 |E4|C3| D 
zu hoch G7 S3 |E4|C3| D 
keine G8 S3 |E4|C3| D 
Antriebssystem | zu niedrig G9 S3 |E4|C3| D 
zu hoch G10 S3 | E4 |C3| D 
Lichtsystem keine Gill S3|E3|C2| B 


Tabelle 4.1: Resultat der Gefahren- und Risikoanalyse für die untersuchten Fahrzeugsysteme 


elektrischen Energieversorgung für die einzelnen Systeme ein Zuverlässig- 
keitsniveau von ASIL-D sichergestellt werden. 


4.7 Zusammenfassung 


Unabhängig von der jeweiligen Funktionsausgestaltung muss die elektrische 
Energieversorgung in jedem Fall unterschiedliche Anforderungen erfüllen. Un- 
bedingt zu vermeiden ist ein plötzlicher Systemausfall durch einen Ausfall der 
elektrischen Energieversorgung. Zudem ist sicherzustellen, dass jederzeit ein 
hinreichendes Maß an Energie zur zuverlässigen Funktionsausführung bereit- 
gestellt werden kann. Im Falle eines Fehlers muss die elektrische Energie- 
versorgung über Möglichkeiten verfügen, den Fehler zu isolieren bzw. sicher- 
heitsrelevante Verbraucher auch dann weiter versorgen zu können, wenn die 
Fehlerisolierung nicht gelingt. Jeder Verbraucher, der an der Bereitstellung 
einer autonomen Fahrfunktion beteiligt ist, muss mindestens in dem Ausmaß 
mit Energie versorgt werden, das zur Funktionsausführung notwendig ist. 
Vor diesem Hintergrund ergeben sich folgende Anforderungen an die elektri- 
sche Energieversorgung: Sie muss 
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1. jeden Verbraucher im vorgegebenen Spannungsbereich mit Energie ver- 
sorgen, 


2. Leistungsspitzen ausgleichen, um Unterspannung zu vermeiden, 
3. eine Mindestmenge an Energie vorhalten und 


4. fiir hochautomatisierte Assistenzsysteme wie SP und AP eine sichere 
elektrische Energieversorgung (Einstufungsniveau ASIL-D) gewährleis- 
ten. 


Im vorgegebenen Spannungsbereich muss die Versorgung der Verbraucher 
durch eine geeignete Auslegung der elektrischen Energieversorgung sicher- 
gestellt werden. Diese basiert im Wesentlichen auf der Speicherkapazität der 
Energiespeicher sowie auf einem leistungsfähigen Generator bzw. Gleichspan- 
nungswandler und dessen Regelung [64], [138]. 

Ebenfalls maßgebend für eine stabile elektrische Energieversorgung ist die 
Vernetzung. Bei zu hohen Widerständen der Leitungen bzw. bei Kontaktstel- 
len kann es zu erheblichen Spannungsabfällen kommen, was in kritischen 
Situationen dazu führen kann, dass keine ausreichende Spannungsstabilitat si- 
chergestellt werden kann [57]. Um eine stabile elektrische Energieversorgung 
realisieren zu können, sind exakte Leistungsprofile der Verbraucher sowie de- 
ren Betriebsprofile erforderlich. 

Die Einhaltung der Spannungslage sowie die Robustheit der Komponenten 
der elektrischen Energieversorgung und der Verbraucher ist über die Norm 
LV 124 bzw. für 48V-Systeme über die Norm LV 148 sowie über zusätzliche, 
herstellerspezifische Standards geregelt. Jede in Kraftfahrzeugen eingesetzte 
Komponente muss diese Normen erfüllen bzw. einhalten. Dadurch wird in 
Teilen bereits eine robuste elektrischen Energieversorgung hinsichtlich der 
Spannungslage erreicht. 

Die Frage nach dem mindestens notwendigen Energievorhalt kann nicht all- 
gemeingültig beantwortet werden. Der exakte Wert hängt im konkreten Fall 
von drei Dingen ab: erstens von der gewählten Architektur, zweitens von dem 
durch eine Risikobewertung als sicher definierten Zustand und drittens von 
der Energiemenge, die benötigt wird, um den als sicher definierten Zustand 
zu erreichen. An hochautomatisierte Assistenzsysteme und Funktionen wie SP 
und AP werden bereits erhöhte Anforderungen bezüglich der Zuverlässigkeit 
der elektrischen Energieversorgung und der Funktionsausführung gestellt. Die 
in diesem Kapitel beschriebenen Architekturen, Spannungsebenen und Ver- 
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braucherprofile miissen hierbei Beriicksichtigung finden. 

Für eine umfassende Zuverlässigkeitsbewertung ist neben der Funktionali- 
tät im fehlerfreien Betrieb auch die Robustheit gegenüber Fehlern relevant. 
Für autonome bzw. hochautomatisierte Fahrfunktionen muss die elektrische 
Energieversorgung des Brems-, Lenk- und Antriebssystems mit einem Bewer- 
tungsniveau von ASIL-D gewährleistet werden; für die elektrische Energiever- 
sorgung des Lichtsystems ist ein Niveau von ASIL-B erforderlich (vgl. hierzu 
Tabelle 4.1). Zur Erreichung dieser Sicherheitsziele ist eine genaue Kenntnis 
der Prozessabläufe in der Entwicklung sowie des Fehlerverhaltens einzelner 
Komponenten (darunter der Verbraucher und der elektrischen Energieversor- 
gung selbst) relevant. Aufgrund der Komplexität des Gesamtsystems der elek- 
trischen Energieversorgung ist eine frühzeitige Bewertung entscheidend. Die 
elektrische Energieversorgung kann dabei auf der Basis 


e der Spannungsstabilitat, 

e der Zuverlässigkeit, 

e der Fehlerreaktion und deren Auswirkungen, 
e der Eigensicherheit und 


e der Kosten 


bewertet werden. Die Spannungsstabilität bezieht sich auf die Einhaltung al- 
ler Spannungsgrenzen während des Normal- und Fehlerbetriebs. Mittels der 
Zuverlässigkeit lässt sich eine Aussage über die Wahrscheinlichkeit für das 
Eintreten von Fehlern treffen und somit die Einhaltung des geforderten Sicher- 
heitsziels gewährleisten. Anhand der Fehlerreaktion und deren Auswirkungen 
wird der Einfluss auf sicherheitsrelevante Verbraucher überprüft. Die Eigensi- 
cherheit bezieht sich auf die Thematik NOTI sowie auf die Vermeidung von 
Gefährdungen durch Stromstöße bei Fahrzeugen mit höheren Spannungsebe- 
nen. Die Kosten der elektrischen Energieversorgung lassen sich aufgrund der 
vertraglich vorgegebenen Verschwiegenheitsklauseln nicht transparent bewer- 
ten. Daher werden die Kosten in dieser Arbeit nicht zur Bewertung herange- 
zogen. 

Für eine ganzheitliche Betrachtung der aufgezählten Einflussfaktoren sind ne- 
ben umfangreichen Simulationen der elektrischen Energieversorgung vor allem 
Versuchsfahrten notwendig. Diese wurden im Rahmen der vorliegenden Arbeit 
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mit einem Fokus auf die Untersuchung der Zuverlässigkeit und Verfügbarkeit 
der elektrischen Energieversorgung fiir hochautomatisierte Systeme durchge- 
führt. 


119 


5 Belastungs- und 
Zuverlässigkeitsmodelle der 
Komponenten der elektrischen 
Energieversorgung 


In diesem Kapitel werden Modelle zur Berechnung der Belastungen sowie der 
Ausfallwahrscheinlichkeiten der verschiedenen Komponenten der elektrischen 
Energieversorgung entwickelt, beschrieben und anhand von Messdaten vali- 
diert. 

In Unterkapitel 5.2 wird ein auf der Weibull-Verteilung basierendes Modell zur 
Berechnung der Ausfallwahrscheinlichkeiten von Blei-Säure-Batterien entwi- 
ckelt, da sich in den einschlägigen Standards nur bedingt Ausfalldaten bzw. 
Fehlerratenmodelle für das Teilsystem Energiespeicher finden. Als Berech- 
nungsgrundlage werden Daten aus Werkstattwechselintervalluntersuchungen 
von 436.357 fehlerhaften Blei-Säure-Batterien genutzt [110]. 

Mit Bezug auf das Teilsystem Energiewandlung wird in Unterkapitel 5.3 ein 
Modell für den 12V-Klauenpolgenerator sowie in Unterkapitel 5.4 ein Modell 
für den 48V/12V-Gleichspannungswandler vorgestellt. Für beide Komponen- 
ten wird jeweils ein Verlustleistungs-, Temperatur- und Fehlerratenmodell er- 
stellt. Zusätzlich werden für beide Komponenten eigene Fehlerbäume erstellt 
und beschrieben, um die spezifischen Fehlerwahrscheinlichkeiten modellba- 
siert berechnen zu können. 

Generell gilt, dass zur Berechnung der Zuverlässigkeit einer Komponente die 
Wahrscheinlichkeiten für den Eintritt aller relevanten Fehler bekannt sein müs- 
sen. Hierfür müssen die Fehlerereignisse einzelner Bauteile analysiert und 
ausgewertet werden, wobei der maßgebliche Faktor die Belastung der einzel- 
nen Komponenten und deren Bauelemente ist. Die Belastung der Komponen- 
ten der elektrischen Energieversorgung ist abhängig von der Fahrzeugklasse, 
dem Fahrprofil und den vorliegenden Umwelteinflüssen. Wie in Unterkapi- 
tel 4.2, Abbildung 4.4 dargestellt wurde, ist der Strombedarf der Verbraucher 
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bei niedrigen Temperaturen, also im Winterbetrieb, besonders hoch. Folglich 
nimmt auch die Belastung der Teilsysteme der elektrischen Energieversorgung 
im Winterbetrieb zu. Zur Erfassung der genannten Einflussparameter wur- 
den daher bei unterschiedlichen Witterungsbedingungen Messfahrten mit zwei 
verschiedenen Fahrzeugen und vier verschiedenen Streckenprofilen durchge- 
führt. Im folgenden Unterkapitel 5.1 werden die untersuchten Strecken und der 
Messaufbau beschrieben; anschließend werden die daraus abgeleiteten Ergeb- 
nisse ausgewertet und abschließend diskutiert. 


5.1 Fahrprofil 


In einem Fahrprofil sind alle für die hier verfolgten Zwecke wesentlichen 
Einflussfaktoren zusammengefasst. In Bezug auf die Zuverlässigkeitsberech- 
nungen ist von Interesse, welchen Einflüssen und Belastungen die elektrische 
Energieversorgung und deren Teilsysteme ausgesetzt sind. Dabei ist die Belas- 
tung der elektrischen Energieversorgung und deren Komponenten von mehre- 
ren Einflussfaktoren abhängig. Welche Momentanleistung von den jeweiligen 
Verbrauchern in Summe umgesetzt wird, ist abhängig 


e von den vorliegenden Umwelt- und Witterungsbedingungen, 
e vom Kundenverhalten und 


e von der Streckenart. 


Maximalbelastungen erfährt die elektrische Energieversorgung z. B. durch das 
Starten der VKM. Je nach Streckentyp (Autobahn, Landstraße oder Stadt) und 
der davon abhängigen Häufigkeit von Start-Stopp-Zyklen wird die VKM unter- 
schiedlich oft gestartet bzw. abgeschaltet. Durch die bei jedem Start fließenden 
Maximalströme nimmt die Belastung aller beteiligten Komponenten zu. 

Die Belastung wird zumindest zeitweise aber auch durch andere Verbraucher 
erhöht, insbesondere von einer Vielzahl an leistungsintensiven Verbrauchern 
wie z. B. Heizelementen oder dynamischen Fahrwerkssystemen, die in Fahr- 
zeugen der Oberklasse verbaut werden. Um zu analysieren, welche Ströme 
bzw. Leistungen mit welcher Häufigkeit in der elektrischen Energieversorgung 
auftreten, wurden im Rahmen der vorliegenden Arbeit Messfahrten mit einem 
Audi A3 (AU3) sowie einem Audi A8 (AUS) durchgeführt. Beide Fahrzeuge 
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wurden mit entsprechender Messtechnik ausgeriistet. 

Im folgenden Abschnitt werden vier Streckentypen vorgestellt, die fiir die Zwe- 
cke der hier durchgefiihrten Untersuchungen entwickelt wurden. In den sich 
daran anschließenden Abschnitten werden der Versuchsaufbau beschrieben 
und die Messergebnisse ausgewertet. 


5.1.1 Strecken 


Mit Blick auf die elektrische Energieversorgung soll die Frage beantwortet wer- 
den, welchen Belastungen eine Komponente bzw. deren Bauelemente während 
des Fahrbetriebs ausgesetzt ist bzw. sind. In der Komponentenentwicklung 
werden für die Entscheidungsfindung und die Auslegung der Komponenten 
Grenzwertbetrachtungen genutzt. Zur Berechnung der Zuverlässigkeit hinge- 
gen ist von Interesse, wie die Komponenten über ihre Lebens- und Nutzungs- 
dauer hinweg belastet werden. 

Die in Unterkapitel 4.2 vorgestellten Verbrauchertypen verursachen unter- 
schiedlich hohe Belastungsintensitäten. Während Dauerverbraucher die Grund- 
last bestimmen, hängt die Höhe der Leistungsspitzen von Langzeit- und Kurz- 
zeitverbrauchern ab. Wie häufig und wie lange diese verschiedenen Verbrau- 
cher genutzt werden, hängt wiederum von den Kundenanforderungen ab. Mit 
sinkenden Temperaturen nehmen sowohl die Häufigkeit als auch die Dauer 
der Nutzung von Heizelementen zu, sodass die elektrische Energieversorgung 
höhere Leistungen bereitstellen muss. 

Um möglichst viele Arten des Kundenverhaltens aussagekräftig abbilden zu 
können, wurden auf der Basis der Ergebnisse von [50] vier unterschiedliche 
Streckenprofile definiert. Nach [50] legen in Deutschland ca. 40 Prozent der 
Autofahrer täglich eine Strecke zwischen 0 und 10 Kilometer, weitere ca. 
40 Prozent eine Strecke zwischen 11 und 50 Kilometer und die verbleibenden 
ca. 20 Prozent eine Strecke von mehr als 51 Kilometer mit dem PKW zu- 
rück. Auf der Basis dieser statistischen Erhebungen wurden vier verschiedene 
Streckenprofile mit unterschiedlichen Längen definiert: 


e die Kurzstrecke (KS) (0-10 Kilometer), 
e die Kurze Pendlerstrecke (KPS) (11-50 Kilometer), 
e die Lange Pendlerstrecke (LPS) (51-100 Kilometer) und 
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e die Langstrecke (LS) (>100km). 


Des Weiteren wurde in der Untersuchung [4] gezeigt, dass die durchschnittliche 
Streckennutzung eines typischen Autofahrers in Deutschland bei 40 Prozent 
Autobahn, 33 Prozent Landstraße, 26 Prozent Stadt und 1 Prozent Naturstrecke 
liegt. Auf dieser Grundlage wurden für die vier Strecken KS, KPS, LPS und 
LS die folgend beschriebenen Streckenverläufe gewählt. 

Der Streckenverlauf der Kurzstrecke ist in Abbildung 5.1 (a) dargestellt. Die 


Stadt 


83% 


Land 


(b) 


Abbildung 5.1: (a) Streckenverlauf der Kurzstrecke mit einer Länge von 7,44 Kilometer; (b) Ver- 
teilung des Streckentyps 


Strecke besitzt eine Länge von 7,44 Kilometer und eine Verteilung des Streck- 
entyps — zu sehen in (b) — von 83 Prozent Landstraße und 17 Prozent Stadt. 
Die Kurzstrecke repräsentiert kürzere Fahrten. Ein Großteil der Menschen 
in Deutschland nutzt das Fahrzeug jedoch für längere Fahrten, insbesondere 
für die Strecke zum Arbeitsplatz. Da die zurückgelegten Distanzen hierbei 
stark schwanken, wurden für das Profil Pendlerstrecke zwei Streckenlängen 
mit ähnlicher Verteilung der Streckentypen definiert: zum einen die in Abbil- 
dung 5.2 (a) dargestellte Kurze Pendlerstrecke mit einer Länge von 23,06 Kilo- 
meter und zum anderen die in Abbildung 5.3 abgebildete Lange Pendlerstrecke 
mit einer Länge von 81,17 Kilometer. Zur Untersuchung der Belastungen der 
elektrischen Energieversorgung während einer längeren Fahrt wurden Lang- 
streckenfahrten mit einer Streckenlänge von 343,48 Kilometer durchgeführt. 
Die Streckenverteilung liegt in diesem Fall bei 1 Prozent Landstraße, 1 Prozent 
Stadt und 98 Prozent Autobahn. Die gefahrene Strecke ist in Abbildung 5.4 
dargestellt. Um während der Versuchsfahrten wesentliche Größen der Belas- 
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Abbildung 5.2: (a) Streckenverlauf der Kurze Pendlerstrecke mit einer Länge von 23,06 Kilometer; 
(b) Verteilung des Streckentyps 


Autobahn 


(b) 


Abbildung 5.3: (a) Streckenverlauf der Lange Pendlerstrecke mit einer Länge von 81,17 Kilometer; 
(b) Verteilung des Streckentyps 


tung aufzeichnen zu können, wurden die Fahrzeuge mit den folgend erläuterten 
Messstellen ausgerüstet. 
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Abbildung 5.4: (a) Streckenverlauf der Langstrecke mit einer Länge von 344 Kilometer; (b) Ver- 
teilung des Streckentyps 


5.1.2 Versuchsaufbau 


Die für die elektrische Energieversorgung benötigte Energie wird von den Teil- 
systemen Energiespeicher und Energiewandlung bereitgestellt. Während die 
VKM inaktiv ist, werden die Verbraucher aus dem Energiespeicher versorgt. 
Bei aktiver VKM bzw. bei aktiven Hochvoltsystemen in elektrisch angetrie- 
benen Fahrzeugen übernimmt hingegen das Teilsystem der Energiewandlung 
die Versorgung. Hierbei wird die 12V-Ebene der elektrischen Energieversor- 
gung entweder von einem Generator oder von einem Gleichspannungswandler 
gespeist. Aus der Summe aller Quellenleistungen ergibt sich die Gesamtleis- 
tung aller Verbraucher, aus der sich wiederum die Belastung der wesentlichen 
Komponenten der elektrischen Energieversorgung ableiten lässt. 

Bei den beiden für die hier durchgeführten Untersuchungen eingesetzten Ver- 
suchsfahrzeugen handelt es sich um Fahrzeuge mit VKM und einer 12V- 
Architektur, bestehend aus einer Blei-Säure-Batterie als Hauptspeicher und 
einem Klauenpolgenerator zur Energiewandlung. Der AUS besitzt eine VKM 
mit 6,3 Litern Hubraum, einer AGM-Fahrzeugbatterie mit 105 Ah Kapazität 
und einem wassergekühlten Generator mit einem Nennstrom von 190 Ampe- 
re. Das zweite Versuchsfahrzeug, der AU3, besitzt eine VKM mit 1,8 Litern 
Hubraum, einer Enhanced Flooded Battery (EFB)-Batterie mit 69 Ah und ei- 
nem Generator mit 140 Ampere Nennleistung. Während der Versuchsfahrten 
wurden in beiden Fahrzeugen die folgenden Größen aufgezeichnet: 
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Batteriestrom, 


Generatorstrom, 


Batteriespannung, 


Bordnetzspannung, 


Motorr: aumtemperatur, 


Innenraumtemperatur, 


Zwischenraumtemperatur, 


Außentemperatur, 


Luftfeuchtigkeit, 


Fahrzeuggeschwindigkeit und 


Motordrehzahl. 


5.1.3 Auswertung der Versuchsfahrten 


Die Versuchsfahrten wurden im Zeitraum zwischen Herbst 2017 und Früh- 
jahr 2018 durchgeführt. Die hierbei aufgezeichneten Daten dienen als Ein- 
gangsgrößen für die Komponentenmodelle, um die im Feld auftretenden Be- 
lastungen möglichst genau abbilden zu können. In Abbildung 5.5 sind in (a) 
bzw. in (c) der Geschwindigkeits- bzw. der Motordrehzahlverlauf über die 
Zeit sowie in (b) und (d) die zugehörigen Dichteverteilungen dargestellt. Da 
der Streckenverlauf der Kurzstrecke mehrere Kreuzungen bzw. Haltepunkte 
aufweist, betrug die Fahrzeuggeschwindigkeit wiederholt 0 km/h, d. h., das 
Fahrzeug stand. Anhand der Motordrehzahl lässt sich ableiten, ob ein Start- 
Stopp-Zyklus (SSZ) aktiv ist. Während der hier dargestellten Versuchsfahrt 
wurden insgesamt vier SSZs durchgeführt. Bei jedem dieser Zyklen wird die 
elektrische Energieversorgung so lange über die Fahrzeugbatterie gespeist, bis 
die VKM wieder angelassen wird. Dies geschieht entweder durch die Weiter- 
fahrt oder wenn die Fahrzeugbatterie zu tief entladen ist und das Energiema- 
nagement den Start der VKM veranlasst. 

Aufder zurückgelegten Strecke wären prinzipiellGeschwindigkeiten von bis zu 
100 km/h möglich, jedoch ist die Geschwindigkeit auf dem Großteil der Strecke 
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Abbildung 5.5: (a) Geschwindigkeits- und (c) Motordrehzahlverlauf wahrend einer Messfahrt auf 
der Kurzstrecke mit dem AU3. Die Dichteverteilung ist in (b) fiir die Geschwin- 
digkeit sowie in (d) fiir die Motordrehzahl ersichtlich. Die Versuchsfahrt wurde 
bei einer mittleren Außentemperatur von 8,82 °C durchgeführt. Die Streckenlänge 
betrug 7,13 Kilometer und wurde in 14,13 min mit vier Start-Stopp-Zyklus zu- 
rückgelegt. 


begrenzt. Die mittlere Geschwindigkeit betrug im Verlauf der Versuchsfahrten 
ca. 30 km/h und die mittlere Motordrehzahl lag bei ca. 1300 min!. 

Die Belastung der elektrischen Energieversorgung während der Kurzstrecken- 
fahrt lässt sich aus den in Abbildung 5.6 dargestellten Stromverläufen für die 
Batterie (a) und den Generator (c) ableiten. Mit Blick auf den Batteriestrom 
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Abbildung 5.6: (a) Batterie- und (c) Generatorstromverlauf sowie in (b) bzw. (d) Dichteverteilung 
für Batterie- bzw. Generatorstrom während einer Messfahrt auf der Kurzstrecke 
mit dem AU3 als Versuchsfahrzeug 


sind vor allem die Ströme des Starters deutlich erkennbar. Hier werden von der 
Fahrzeugbatterie kurzzeitig bis zu 850 Ampere bereitgestellt. Uber eine langere 
Dauer hinweg betrachtet liegen die Ströme jedoch deutlich unter diesem Wert. 
Wie auch in Abbildung 5.6 (b) gut zu erkennen ist, liegt der Batteriestrom im 
Mittel bei ca. 5 Ampere und ist negativ. Der in (a) dargestellte Batteriestrom ist 
positiv, wenn die Batterie Energie bereitstellt, und negativ, wenn die Batterie 
geladen wird. Während eines normalen Fahrzyklus sollte die Batterie immer 
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geladen werden, um einen erneuten Start der VKM zu ermöglichen. Zu diesem 
Zweck speist der Generator einen mittleren Strom von ca. 31 Ampere in die 
elektrische Energieversorgung ein. In der hier dargestellten Messung liefert der 
Generator kurz nach dem Starten der VKM Maximalströme mit anschließend 
abnehmender Tendenz. Der im Mittel durch die Verbraucher aufgenommene 
Strom lässt sich aus der Summe von Batterie- und Generatorstrom berechnen. 
In diesem Fall flossen im Mittel ca. 26 Ampere über die Verbraucher. 
Unabhängig von der gefahrenen Strecke lassen sich in Summe aus allen Ver- 
suchsfahrten die in Abbildung 5.7 dargestellten Verteilungen angeben. Die 
sich so ergebende Dichteverteilung für die Geschwindigkeit aller Kurzstre- 
ckenfahrten ist in (a) dargestellt. Die Verteilung ist mit den Ergebnissen der 
Einzelfahrtauswertung vergleichbar. Die mittlere Geschwindigkeit liegt mit ca. 
27 km/h etwas niedriger als bei der Einzelfahrtauswertung. Dem korrespondie- 
rend liegt auch der Mittelwert für die Dichteverteilung der Motordrehzahl (b) 
mit einer Drehzahl von ca. 1200 min’! leicht unter dem Wert aus der Einzel- 
fahrtauswertung. 

Der Streckencharakter spiegelt sich auch in der Batteriestromverteilung in (c) 
deutlich wider. Im Mittel lag der Batterieladestrom bei ca. 4,8 Ampere. Bezüg- 
lich der Verteilung des Generatorstroms (d) ergab sich eine mittlere Grundlast 
von ca. 38 Ampere. Mit geringerer Häufigkeit lieferte der Generator auch Strö- 
me oberhalb von 90 Ampere. In Abbildung 5.8 sind die Dichteverteilungen 
für den AUS in Gegenüberstellung zur Gesamtauswertung der Kurzstrecke für 
den AU3 dargestellt. Der Geschwindigkeitsverlauf in (a) unterscheidet sich nur 
geringfügig von dem des AU3; die mittlere Geschwindigkeit fällt mit 22 km/h 
etwas geringer aus. Die Verteilung der Motordrehzahl (b) zeigt ebenfalls den 
spezifischen Verlauf einer Kurzstrecke. Die Verteilung der Motordrehzahl ist 
deutlich in den niedrigeren Drehzahlbereich verschoben. Aufgrund der leis- 
tungsfähigeren VKM lag die Motordrehzahl des AU8 auf der Kurzstrecke im 
Mittel bei ca. 880 min’! und damit etwas niedriger als die des AU3. Die in 
(c) abgebildete Verteilung des Batteriestroms für den AUS weist ebenfalls die 
für eine Kurzstrecke typische Stromverteilung auf. Aufgrund der häufigeren 
Versorgungsphasen aus der Batterie fallen die Werte für den Entladestrom und 
den mittleren Ladestrom höher aus. Die Batterie des AU8 wird im Mittel mit 
ca. 6 Ampere nachgeladen. Deutlich höher fällt die Verteilung des Generator- 
stroms aus. Dieser liefert im Mittel ca. 77 Ampere und abnehmend Ströme von 
bis zu 250 Ampere. Die Verteilungen der Versuchsfahrten mit dem AUS auf der 
Kurzstrecke sind in Abbildung 5.8 dargestellt. Deutlich zu erkennen ist, dass 
der Geschwindigkeitsverlauf mit dem des AU3 vergleichbar ist, während die 
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Abbildung 5.7: (a) Geschwindigkeits-, (b) Motordrehzahl-, (c) Batteriestrom- und (d) Generator- 
stromverteilung fiir alle durchgefiihrten Messfahrten auf der Kurzstrecke mit dem 
AU3. 


Motordrehzahl aufgrund des deutlich größeren Hubraums der VKM im Mittel 
geringer ausfällt. Im Folgenden werden die wesentlichen Messgrößen für alle 
weiteren Versuchsfahrten diskutiert und zusammengefasst. Die Verteilungen 
für die kurze und die lange Pendlerstrecke sowie für die Langstrecke sind in 
Anhang A.1 bis A.6 dargestellt. 
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Abbildung 5.8: (a) Geschwindigkeits-, (b) Motordrehzahl-, (c) Batteriestrom- und (d) Generator- 
stromverteilung fiir alle durchgefiihrten Messfahrten auf der Kurzstrecke mit dem 
AUS. 


5.1.4 Zusammenfassung 


Für die Berechnung der Zuverlässigkeit der elektrischen Energieversorgung 
ist eine genaue Kenntnis der Belastung der beteiligten Komponenten erfor- 
derlich. Im vorangegangenen Unterkapitel wurden vier verschiedene Strecken- 
typen vorgestellt — die Kurzstrecke, die Kurze Pendlerstrecke und die Lange 
Pendlerstrecke sowie die Langstrecke —, auf Basis derer die Belastung für die 
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entsprechenden Fahrprofile ermittelt werden kann. Um die Bordnetzbelastung 
in Abhangigkeit von der Fahrzeugklasse zu bestimmen, wurden die Messfahr- 
ten mit zwei verschiedenen Modellen, dem AU3 und dem AU8, durchgefiihrt. 
In Tabelle 5.1 sind die wesentlichen Größen für alle ausgewerteten Strecken 
zusammengefasst. Wie aus der Tabelle zu erkennen ist, wurden die meisten 


Streckentyp Fahrzeug | T [°C] | ¥ [km/h] | n [min™] | iz [A] ig [A] 
Kurzstrecke AU3 7,15 26,95 1213,84 |-4,76 |37,85 
Kurzstrecke AUS 10,16 |22,12 880,91 -5,96 | 77,27 
Kurze Pendlerstrecke | AU3 9,4 41,38 1432,94 |-3,95 | 33,25 
Kurze Pendlerstrecke | AU8 12,69 | 39,91 1242,62 |-8,83 | 66,95 
Lange Pendlerstrecke | AU3 7,47 53,59 1645,78 |-2,47 | 32,36 

8 
3 
8 


Lange Pendlerstrecke | AU 10,57 147,88 1157,78 |-3,24 |71,54 
Langstrecke AU 9,84 104,95 | 2385,55 |-1,9 33,71 
Langstrecke AU 4,25 93,92 1597,76 |-1,6 66,37 


Tabelle 5.1: Strecken- und fahrzeugspezifische Mittelwerte der wesentlichen Messgrößen für alle 
durchgeführten Versuchsfahrten 


Messfahrten bei mittleren Außentemperaturen zwischen 0 und 13°C durch- 
geführt. Die Verläufe für die mittlere Geschwindigkeit sowie für die mittlere 
Motordrehzahl liegen in den für die jeweilige Versuchsstrecke zu erwartenden 
Wertebereichen. 

Mit zunehmender Streckenlänge nimmt der mittlere Batterieladestrom deutlich 
ab. Daraus kann abgeleitet werden, dass mit zunehmender Streckenlänge die 
Wahrscheinlichkeit dafür steigt, dass die Fahrzeugbatterie vollständig geladen 
ist. Außerdem kommt es auf Langstrecken deutlich seltener zu Entladezyklen, 
wodurch im Mittel der Ladestrom sinkt. 

Aufgrund der unterschiedlichen Modellklassen unterscheiden sich die mittle- 
ren Grundlasten für die beiden Fahrzeuge deutlich voneinander. Für den AU3 
ergibt sich aus dem gemittelten Generatorstrom eine Grundlast von ca. 34 Am- 
pere, für den AUS hingegen eine Grundlast von ca. 70 Ampere. Vergleicht man 
die Ergebnisse für die verschiedenen Fahrprofile hingegen nicht zwischen, 
sondern innerhalb der beiden Modelle, unterscheiden sich die Grundlasten nur 
geringfügig voneinander. 

Die gewonnenen Erkenntnisse lassen sich wie folgt zusammenfassen: 
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1. Das Fahrprofil bzw. der Streckentyp haben einen geringen Einfluss auf 


die Belastung der elektrischen Energieversorgung. Zwar kommt es bei 
kurzen Strecken und vor allem im Stadtverkehr aufgrund der haufigeren 
Start-Stopp-Zyklen vermehrt zu Maximalbelastungen; auf die gesamte 
Strecke bezogen wird die Grundlast der elektrischen Energieversorgung 
jedoch von der Anzahl und Nutzung von Dauer- und Komfortverbrau- 
chern bestimmt. 


. Uber die gesamte Fahrtdauer hinweg betrachtet wird der Energiespeicher 


in Summe nachgeladen. Der Ladestrom sinkt dabei mit zunehmender 
Streckenlänge kontinuierlich ab. 


. Als Teilsystem der Energiewandlung stellt der Generator die insgesamt 


benötigte Energiemenge für die Versorgung der Verbraucher und zum 
Nachladen des Energiespeichers bereit. 


Die zeitlichen Verläufe der aus den Versuchsfahrten gewonnenen Messdaten 
dienen als Eingangsgrößen für die nachfolgend vorgestellten Modelle. Um die 
Ergebnisse der Berechnungen voneinander unterscheiden zu können, werden 
die Eingangsdaten streckenspezifisch bereitgestellt. In Kapitel 6 werden auf der 
Basis dieser Eingangsdaten die Zuverlässigkeiten für die Kurz-, die Pendler- 
und die Langstrecke berechnet, ausgewertet und diskutiert. 
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5.2 Modell der Blei-Saure-Batterie 


Die Zuverlassigkeit der elektrischen Energieversorgung steht und fallt mit der 
Zuverlässigkeit der Energiespeicher. Um letztere gewährleisten zu können, ist 
es entscheidend herauszufinden, mit welcher Wahrscheinlichkeit während des 
Fahrbetriebs bzw. während des Fahrens mit aktiven Assistenzsystemen Fehler 
im Energiespeicher auftreten. Im Folgenden wird ein Modell der Blei-Säure- 
Batterie entwickelt und diskutiert, anhand dessen sich diese Wahrscheinlich- 
keiten bestimmen lassen. 

Sowohl in der elektrischen Energieversorgung von Fahrzeugen mit VKM als 
auch in der elektrischen Energieversorgung von Fahrzeugen mit elektrischem 
Antrieb werden in der 12V-Spannungsebene aktuell vorrangig Blei-Säure- 
Batterien eingesetzt. In Zukunft wird der Einsatz von neuen Technologien wie 
bspw. der 12V-Lithium-Ionen-Starterbatterie zwar zunehmen. Derzeit sind die- 
se Technologien allerdings noch Kleinserien vorbehalten [171]. Die Gründe 
für die Dominanz der Blei-Säure-Batterie liegen zum einen in ihrer hohen 
Leistungs- und Kaltstartfähigkeit sowie zum anderen in ihrer Wirtschaftlich- 
keit, wozu auch das gut funktionierende Recyclingsystem zählt, das mit einer 
sehr hohen Rücklaufquote und einer Recyclingeffizienz von 81,9 Prozent eta- 
bliert ist [163]. 

Aufgrund ihrer aktuell hohen Bedeutung für die 12V-Spannungsebene wird 
in diesem Unterkapitel die Blei-Säure-Batterie näher untersucht, und zwar 
mit besonderem Fokus auf den Aspekt der Zuverlässigkeit. Zunächst werden 
in Abschnitt 5.3.1 die grundlegenden Eigenschaften von Blei-Säure-Batterien 
vorgestellt. Anschließend folgt in Abschnitt 5.2.2 eine Beschreibung der we- 
sentlichen Alterungs- und Ausfallmechanismen. Das Unterkapitel schließt mit 
einer Studienauswertung der Tauschintervalle von Blei-Säure-Batterien, auf 
deren Basis die Parameter für eine Weibull-Verteilung abgeleitet werden, an- 
hand derer sich die Ausfallrate für Blei-Säure-Batterien bestimmen lässt, die 
als Maß für die Zuverlässigkeit dient. 
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5.2.1 Technologie 


Die Blei-Säure-Batterie ist der am häufigsten eingesetzte Energiespeichertyp 
in der 12V-Spannungsebene und wurde über die letzten Jahrzehnte hinweg 
zur Anpassung an neue Funktionen und Assistenzsysteme kontinuierlich wei- 
terentwickelt [91]. Neue Anforderungen ergaben sich dabei vor allem aus der 
Notwendigkeit der CO2-Reduktion und somit aus der Entlastung der VKM. 
In diesem Zusammenhang wurde u. a. das Start-Stopp-System entwickelt. 
Dieses trägt zu einer Reduktion der Belastung der VKM und damit zu einer 
Reduktion des CO>-Ausstoßes bei; zugleich führt es jedoch zu einer Erhö- 
hung der Entladungstiefe der Batterie. Hinzu kommt, dass ein Großteil der 
aktiven Verbraucher in Kraftfahrzeugen weiterhin aus der Batterie gespeist 
werden. Bei langen Start-Stopp-Zyklen kann dies dazu führen, dass die Bat- 
terie bis zur Mindestspannung bzw. bis zum Mindestenergiegehalt für den 
VKM-Start entladen wird. Dadurch kommt es zu einer deutlichen Erhöhung 
der Vollzyklen der Batterie. Um diesen nachteiligen Effekt zu kompensieren, 
wurden Blei-Säure-Batterien mit höherer Zyklenfestigkeit entwickelt. Je nach- 
dem, welche Anforderungen an die Leistungsfähigkeit und die Zyklenfestigkeit 
bestehen, kommen in der elektrischen Energieversorgung heute dementspre- 
chend verschiedene Blei-Säure-Batterietechnologien zum Einsatz. Im unteren 
Leistungsbereich und bei geringeren Anforderungen an die Zyklenfestigkeit 
ist der am häufigsten eingesetzte Typ die Nassbatterie. Mit steigenden Anfor- 
derungen an die Zyklenfestigkeit werden Enhanced Flooded Battery (EFB) 
und Absorbent Glass Mat (AGM)-Batterien verwendet. Der Unterschied zwi- 
schen Nassbatterien wie der EFB und Vliesbatterien wie der AGM besteht 
hauptsächlich in der Art und Weise, wie der Elektrolyt (verdünnte Schwefel- 
säure) mit der Aktivmasse verbunden ist. Bei Nassbatterien sind die Zellen in 
verdünnte Schwefelsäure getaucht, während der Elektrolyt bei Vliesbatterien 
vom Vlies adsorbiert wird. Abgesehen von diesem essentiellen Unterschied 
sind Blei-Säure-Batterien jedoch recht ähnlich aufgebaut (vgl. hierzu Abbil- 
dung 5.9). Grundsätzlich existiert eine Vielzahl von unterschiedlichen Materi- 
alzusammensetzungen und Aufbauvarianten von Blei-Säure-Batterien. In der 
Fahrzeugtechnik haben sich jedoch vor allem Blei-Säure-Batterien mit Gitter- 
legierungen aus Blei/Kalzium, Taschenseparatoren und flüssigem Elektrolyt 
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Aktive Masse 


bis Gitter Separator 
Pa Negatives Gitter 
4 


Aktive Masse A 
5222 
N 


(a) (b) 


Abbildung 5.9: Exemplarische Darstellung des Aufbaus einer Blei-Säure-Fahrzeugbatterie. In (a) 
ist der Aufbau einer Zelle, in (b) der Aufbau der gesamten Batterie dargestellt. 


bzw. in Vlies oder Gel! gebundenem Elektrolyt durchgesetzt. 

Allen Bauformen von Blei-Säure-Batterien ist gemeinsam, dass das positive 
und das negative Gitter mit Aktivmasse gefüllt sind. Am positiven Gitter be- 
steht die Aktivmasse aus porösem Bleidioxid und am negativen Gitter aus 
porösem Blei. Als Elektrolyt dient meist verdünnte Schwefelsäure. Anders als 
bei Nasszellen wird bei AGM-Batterien der Elektrolyt vollständig in einem 
Glasfaservlies adsorbiert. Pro Zelle werden dabei zur Erhöhung der Kapazi- 
tät mehrere Platten parallel verbaut. Zwischen den Platten mit Aktivmasse 
ist zum Schutz vor Kurzschlüssen sowie zur Stabilisierung der Konstruktion 
ein Separator platziert. Bei AGM-Batterien ist anstelle des in (a) dargestellten 
Blattseparators ein Taschenseparator verbaut. 

Eine einzelne Zelle besitzt im vollgeladenen Zustand eine Ruhespannung von 
ca. 2,1 Volt. Um eine Gesamtspannung von mehr als 12 Volt zu erreichen, 
werden mehrere Zellen seriell miteinander verschaltet. Die konstruktive Größe 


' Bei der Blei-Gel-Batterie ist der Elektrolyt in Kieselsäure gebunden. Da aufgrund des erhöhten 
Innenwiderstands kein ausreichender Strom zum Starten der VKM bereitgestellt werden kann, 
wird die Blei-Gel-Batterie in Kraftfahrzeugen jedoch nicht als Hauptspeicher eingesetzt. 
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von Blei-Säure-Batterien ist genormt, wobei die Speicherkapazität variiert und 
zwischen ca. 40 Amperestunden (H4) und 110 Amperestunden (H9) liegt. 


5.2.2 Alterungs- und Ausfallmechanismen 


Blei-Säure-Batterien unterliegen verschiedenen Alterungsmechanismen, in- 
folge derer sich ihre Eigenschaften mit der Nutzungsdauer verändern. Ein 
Großteil der Batterien wird aufgrund der Alterung fehlerhaft und kann dann 
keine zuverlässige Versorgung mehr gewährleisten. Gealterte Batterien weisen 
zudem einen deutlichen Kapazitätsverlust auf, wodurch der Innenwiderstand 
zunimmt. In diesem Unterkapitel werden daher die wesentlichen Alterungs- 
und Ausfallmechanismen vorgestellt und diskutiert. Das Alterungsverhalten 
von Blei-Säure-Batterien ist im Wesentlichen auf die Belastung und die kalen- 
darische Alterung zurückzuführen. Hierbei ist zwischen 


e mechanischen, 
e thermischen und 


e elektrischen Belastungen 


zu unterscheiden. 

Mechanische Belastungen treten vor allem in Form von Vibrationen bzw. Er- 
schütterungen auf. Bezüglich thermischer Belastungen ist als Hintergrundin- 
formation zunächst festzuhalten, dass Blei-Säure-Batterien in Kraftfahrzeugen 
bei Umgebungstemperaturen zwischen -50 °C und 40°C fehlerfrei funktionie- 
ren müssen. Bei tiefen Temperaturen sinkt die verfügbare Kapazität aufgrund 
der geringeren Reaktionsgeschwindigkeit deutlich ab. Im Gegenzug nimmt die 
Rate der Selbstentladung jedoch ab, wodurch eine längere Standzeit möglich 
wird. Beihohen Temperaturen kehren sich die Verhältnisse um. Vor allem wäh- 
rend des Ladens sind hohe Temperaturen kritisch, da diese die Gasbildung und 
somit den Wasserverlust fördern. Letzteres führt nach [60] und [141] infolge 
der gestiegenen Säurekonzentration zwar zu einem Anstieg der Ruhespannung 
um wenige Millivolt, jedoch auch zu einer Abnahme der Kapazität. 
Bedeutender für die Alterung bzw. den Ausfall von Blei-Säure-Batterien als 
mechanische und thermische Belastungen sind elektrische Belastungen. So sind 
nach [3] 60,3 Prozent der Ausfälle von Blei-Säure-Batterien auf einen durch 
Ladungsdurchsatz bedingten Verschleiß zurückzuführen. Weitere 23 Prozent 
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fallen durch extreme Tiefentladung aus. Blei-Säure-Batterien werden dabei nie- 
mals während des Betriebs, sondern nur in Start-Stopp-Zyklen bzw. während 
langer Ruhephasen vollständig entladen. Als Ursachen für eine Tiefentladung 
kommen also lange Standzeiten, häufige Kurzstreckenfahrten und die damit 
verbundene Abnahme des Ladezustands bei Fahrzeugstillstand sowie die Ent- 
ladung durch Verbraucher bei inaktiver VKM in Frage. Tiefentladungen bzw. 
unzureichende Ladungen begünstigen die Sulfatierung der positiven und der 
negativen Platte, was eine Verringerung der Säuredichte und der Kapazität zur 
Folge hat. Weiterhin können hohe Stromdichten beim Entladen zum Ausfall 
der aktiven Masse und damit ebenfalls zu Kapazitätsverlusten führen. Darüber 
hinaus werden Kurzschlüsse zwischen den Platten gefördert. Diese können 
auch die Folge des Wachstums von Dendriten sein, die ihrerseits häufig infolge 
von hohen Stromdichten beim Entladen, geringen Säuredichten oder Tiefent- 
ladung der Batterie entstehen. Dendriten schädigen den Separator zwischen 
den Platten und können so zu Kurzschlüssen und letztendlich zum Ausfall der 
Batterie führen. Als Folge hoher Ladungsdurchsätze bzw. hoher Temperaturen 
ist häufig auch eine Verbleiung der negativen aktiven Masse zu beobachten, 
was zu einem Abfall der Kapazität der Batterie und infolgedessen zu einer 
Zunahme des Innenwiderstands führt. 

AGM-Batterien sind gegenüber Schwankungen im Elektrolytvolumen emp- 
findlich. Mit zunehmendem Alter verringert sich der Elektrolytvolumen, wo- 
durch der Innenwiderstand zunimmt. Letzteres führt zu einer Reduktion der 
Klemmspannung und letztendlich zur Gefährdung der elektrischen Energie- 
versorgung. 

In Tabelle 5.2 sind typische Alterungsmechanismen geschlossener Blei-Säure- 
Batterien nach [74], [143], [119], [11] und [38] zusammengefasst. 
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Mechanismus 


Folge 


Ursache 


Korrosion des 
Ableiters 


positiven 


Ohmscher Widerstand des 
Ableiters nimmt zu, Ablei- 
ter bricht 


Hohe Ladespannung, hohe Temperatu- 
ren, geringe Säuredichten 


Ausfall der aktiven Masse 


Kapazitätsverlust, Kurz- 


schluss 


Mechanischer Stress, hohe Stromdich- 
ten beim Entladen, hohe Ladespannun- 
gen, Tiefentladungen und Umpolung 


Sulfatierung der positiven 
und negativen Platte 


Verringerung der Kapazi- 
tät sowie der Säuredichte 


Lange Standzeiten, unzureichendes La- 
den, hohe Säuredichte 


Verbleiung der negativen 
aktiven Masse 


Verringerung der Kapazi- 
tät 


Hoher Ladungsdurchsatz, hohe Tempe- 
raturen, häufiges und starkes Gasen 


Gitterwachstum Kurzschluss zwischen den | Alle Ursachen der Korrosion, ungüns- 
Platten tige Gitterlegierungen 
Dendritenwachstum Kurzschluss zwischen den | Hohe Stromdichten beim Entladen, ge- 


Platten 


ringe Säuredichten, Tiefentladungen 


Änderung der Struktur der 
positiven Masse 


Verringerung der Kapazi- 
tät, Anderung der Ruhe- 
spannung 


Zyklisierung, Gasung 


Zerstörung des Separators 


Kurzschlüsse 


Gitterwachstum, Dendritenwachstum, 
Oxidation des Separators 


Tabelle 5.2: Alterungs- und Ausfallmechanismen von Blei-Säure-Batterien und deren Ursachen 
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5.2.3 Fehlerverteilung 


Wie im vorigen Abschnitt erläutert, führen Alterungsprozesse zu einer Abnah- 
me der Kapazität der Batterie und zu einem Anstieg des Innenwiderstands, 
infolgedessen es dazu kommen kann, dass die elektrische Energieversorgung 
nicht mehr in einem hinreichenden Maß sichergestellt werden kann. Wie in die- 
sem Zusammenhang in [148] gezeigt wurde, treten allerdings auch bei wenig 
gealterten und entsprechend leistungsfähigen Energiespeichern mit niedri- 
gem Innenwiderstand zwischen 2 und 4 Milliohm bei Kurzschlüssen in der 
elektrischen Energieversorgung Unterspannungen an den sicherheitsrelevan- 
ten Verbrauchern auf. Nicht nur bei gealterten Batterien, sondern auch dann, 
wenn die Batterie sich in einem guten Zustand befindet, handelt es sich bei der 
Erhöhung des Innenwiderstands also um einen kritischen Fehler. Im Allgemei- 
nen ist die Erhöhung des Innenwiderstandes von Blei-Säure-Batterien mittels 
Batteriesensor mess- bzw. berechenbar, und durch zyklische Diagnosen kann 
ein rechtzeitiger Austausch veranlasst werden. Dies ist indes nur ein mögliches 
Fehlerbild, das zu einer Beeinträchtigung der elektrischen Energieversorgung 
führen kann. Für die Sicherstellung einer zuverlässigen elektrischen Energie- 
versorgung müssen jedoch die Eintrittswahrscheinlichkeiten aller verschie- 
denen Fehlerbilder bekannt sein und die Fehler müssen zumindest teilweise 
diagnostizierbar sein. Der entscheidende Faktor für eine mathematische Be- 
schreibung der Zuverlässigkeit ist dabei die Kenntnis der Fehlerhäufigkeiten 
bzw. -verteilungen. Die bisher diskutierten Fehlerursachen führen zu einem 
Anstieg des Innenwiderstands in Blei-Säure-Batterien. Dieser Anstieg findet 
über einen längeren Zeitraum statt und ist daher sehr gut beobachtbar. Im Ge- 
gensatz zu den bisher besprochenen Fehlerursachen weisen die Einflüsse und 
Faktoren, die zu zufälligen Fehlern? führen, eine deutlich größere Komplexität 
auf. Aus diesem Grund muss die modellbasierte Beschreibung der Zuverlässig- 
keit von Blei-Säure-Batterien auf der Basis von Felduntersuchungen erfolgen. 
Im Folgenden beziehe ich mich auf die Untersuchungen in [3]. In dieser Stu- 
die wurden ca. 800 AGM-Batterien mit unterschiedlicher Einsatzdauer und 
verschiedenen Fehlerbildern analysiert. Die sich hierbei ergebende Fehler- 
verteilung ist in Abbildung 5.10 dargestellt. Wie ersichtlich wird, fielen ca. 


2 Wie in Abschnitt 2.3.2 erläutert, treten diese Fehler nicht im buchstäblichen Sinne zufällig auf. 
Die Bezeichnung wurde deshalb so gewählt, weil diese Fehler im hier entwickelten Modell wie 
Zufallsvariablen behandelt werden. 
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23% tiefentladen Se 


s 14,6% fehlerfrei 
1,6% Gehäuseschäden 


60,3% Lebensende — = ~ 0,5% Herstellungsfehler 


Abbildung 5.10: Fehlerverteilung von ca. 800 analysierten AGM-Batterien 


60,3 Prozent der untersuchten Blei-Säure-Batterien infolge einer zu geringen 
Restkapazität aus (also deshalb, weil sie am „natürlichen“ Ende ihrer Lebens- 
dauer angekommen waren). Für gewöhnlich werden Blei-Säure-Batterien so 
betrieben, dass eine möglichst lange Lebensdauer gewährleistet werden kann. 
Häufig werden die Batterien dabei auch über die vorgesehene Lebensdauer 
hinaus betrieben und erst dann getauscht, wenn der Start der VKM nicht mehr 
möglich ist. Dies ist nicht unvernünftig. Denn auch wenn die Funktionalität 
von Blei-Säure-Batterien am Ende ihrer Lebensdauer eingeschränkt ist, blei- 
ben sie in den meisten Belastungssituationen dazu in der Lage, die elektrische 
Energieversorgung zu stützen bzw. Verbraucher mit hohen Stromgradienten 
(di/dt) zuverlässig zu versorgen. Treten zusätzlich zu den Kapazitätsverlusten 
bzw. anstelle dieser jedoch schwerwiegende Fehler auf, können energieinten- 
sive Fahrsituationen mit großen Stromgradienten (di/dt) wie z. B. Brems- und 
Lenkmanövern zu einem kritischen Zustand in der elektrischen Energiever- 
sorgung führen. Grundsätzlich muss eine zu geringe Kapazität jedoch nicht 
zwingend zu einer Gefährdung der elektrischen Energieversorgung führen, da 
der Energiespeicher im laufenden Fahrbetrieb stetig nachgeladen wird, sodass 
eine zu geringe Kapazität nur direkt nach dem Start der VKM problematisch 
ist. Wenn weitere Verbraucher, z. B. Heizverbraucher, hinzukommen und die 
Belastung der elektrischen Energieversorgung steigt, wird der Energiespeicher 
unter Umständen aber so weit entladen, dass es zu Kurzschlüssen und, während 
des Auslösens der Sicherung, in letzter Folge zur Unterversorgung sicherheits- 
relevanter Verbraucher kommen kann. Eine zu geringe Restkapazität wird im 
Folgenden daher als kritischer Fehler eingestuft. 

Neben einer zu geringen Restkapazität wurde in der Untersuchung [3] bei 
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23,0 Prozent der Batterien eine Tiefentladung festgestellt. Unklar ist dabei 
allerdings, ob die Batterien bereits mit einer Tiefentladung aus den jeweili- 
gen Fahrzeugen ausgebaut wurden oder ob es erst später, bspw. während der 
Anlieferung, zur Tiefentladung kam. In jedem Fall weist eine Tiefentladung 
aber auf eine deutlich erhöhte Selbstentladung der Batterie hin und lässt daher 
bedingt Rückschlüsse auf Zellkurzschlüsse zu. Letztere sind vor allem dann 
kritisch, wenn sie zu einer deutlichen Abnahme der Gesamtspannung oder zu 
einer schnellen Entladung des Energiespeichers führen. In beiden Fällen kann 
es zur Unterversorgung sicherheitsrelevanter Verbraucher kommen. 

Etwa 14,6 Prozent der in [3] analysierten Batterien waren in einem guten 
Zustand, was auf einen vorzeitigen Austausch hindeutet. Daneben wurden 
1,6 Prozent der Batterien mit beschädigtem bzw. zerstörtem Gehäuse vor- 
gefunden. Die robuste Containerbauweise von Blei-Säure-Batterien macht 
enorme Kräfte zur Deformation bzw. Beschädigung erforderlich. Diese treten 
entweder infolge äußerer Einflüsse, z. B. beim Ein- und Ausbau der Batterie, 
oder als Folge falscher Lagerung auf. Daher ist anzunehmen, dass die beobach- 
teten Verformungen, die zum Ausfall der untersuchten Blei-Säure-Batterien 
geführt haben, nicht im Normalbetrieb aufgetreten sind. 

Bei 0,5 Prozent der untersuchten Blei-Säure-Batterien wurden Herstellungs- 
fehler gefunden. Bei diesen Fehlern handelte es sich um ein verbogenes Gitter, 
um einen zu geringen Säuregehalt, um eine fehlerhafte Verschweißung der 
Platten oder um einen unvollständigen Verschluss des Glasfaservlies um die 
äußeren Platten. Keiner dieser Fehler führte direkt zu einem kritischen Ausfall 
der Batterie. Während längerer Betriebsphasen können sich die genannten Feh- 
lerbilder -insbesondere dann, wenn sie unentdeckt bleiben -jedoch durchaus 
kritisch auf die elektrische Energieversorgung auswirken. 

Eine Gefahr für die elektrische Energieversorgung stellt die Batterie dann dar, 
wenn sie in hohen Lastphasen entladen wird, wenn Verbraucher hohe Strom- 
gradienten (di/dt) anfordern oder wenn Kurzschlüsse auftreten. Auch offene 
Ausfälle der Batterie sind möglich. Diese treten jedoch seltener und infolge 
direkter Fehler in der Batterie auf. Hauptursache für offene Ausfälle sind falsch 
montierte Batterieklemmen, die sich während der Fahrt lösen und somit die 
Verbindung trennen. In [3] konnten keine kritischen Fehler gefunden werden, 
die zum offenen bzw. kurzgeschlossenen Ausfall einer Batterie geführt haben. 
In einer anderen Untersuchung (vgl. [129]) wurden jedoch 12 Prozent der 
untersuchten Blei-Säure-Batterien kurzgeschlossen sowie 4 Prozent offen aus- 
gefallen vorgefunden. Auch in [55] werden kritische Fehler beschrieben, die 
auf ein falsches Zelldesign bzw. auf eine falsche Auswahl der Komponenten 
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zurückzuführen sind und die zu Kurzschlüssen durch Platten- und Separa- 
torfehler führen können. Auch ein mangelhaftes Qualitätsmanagement in der 
Batterieherstellung kann zu offenen Ausfällen führen, bspw. dann, wenn sich 
die Terminals von den Platten lösen oder die Verbindungen zwischen den 
Zellen ausfallen. Auch Verunreinigungen in den verbauten Materialien können 
zum Ausfall führen. 


5.2.4 Alterungsmodelle der Blei-Säure-Batterie 


Alle Alterungsvorgänge führen langfristigzum Ausfall von Blei-Säure-Batterien. 
Entscheidend ist zu wissen, welche Vorgänge im Einzelnen welche Effekte ha- 
ben und wie sich dem Ausfall oder anderen negativen Einflüssen vorbeugen 
lässt. Grundsätzlich lässt sich die Zuverlässigkeit von Blei-Säure-Batterien 
über die Modellierung der möglichen Fehler abbilden, die zu einer Beeinträch- 
tigung oder zum Ausfall führen können. Die Wahrscheinlichkeit eines Ausfalls 
von Blei-Säure-Batterien hängt dabei im Wesentlichen von der zyklischen und 
der kalendarischen Alterung ab. Zusätzlich begünstigen bspw. Gitterfehler in 
der mikroskopischen Struktur ungleiche Zellladungen sowie ungleiche Säu- 
redichten der jeweiligen Zellen, was zu einem Ausfall des Energiespeichers 
führen kann. Sowohl die kalendarische als auch die zyklische Alterung sind 
langsame und beobachtbare Prozesse, was eine modellbasierte Beschreibung 
der dadurch bedingten Alterung ermöglicht. Bezüglich chemischer Energie- 
speicher wie der Blei-Säure-Batterie ist zwischen Fehlern durch Alterung 
(Verschleiß) und plötzlichen Fehlern zu unterscheiden. Durch Alterung be- 
dingte Fehler lassen sich mit Alterungsmodellen mathematisch beschreiben. 
Dabei kann nach [5] zwischen drei verschiedenen Arten von Alterungsmodel- 
len unterschieden werden: 


e ereignisorientierte Modelle, 
e Modelle mit gewichtetem Kapazitätsdurchsatz sowie 


e physikochemische Modelle (Kombinationsmodelle). 


Ereignisorientierte Modelle basieren auf der Berechnung der Entladungstiefe 
und der daraus folgenden Zyklen bzw. dem Ladungsdurchsatz (Amperestunden- 
Durchsatz). Auf der Basis der kalendarischen Alterung und unter Hinzunahme 
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von Lebensdauerangaben der Batteriehersteller kann eine Aussage über das 
zu erwartende Lebensdauerende getroffen werden. In [136] wird ein ereigni- 
sorientiertes Modell für Blei-Säure-Batterien vorgestellt. Neben spezifischen 
Batterieeigenschaften wie dem Spannungsverhalten werden auch die Selbstent- 
ladung, die Gasung, der Wasserverlust und die Wärmeentwicklung modelliert. 
Bei der Berechnung des Alterungsverhaltens wird in diesem Modell neben der 
kalendarischen Alterung auch der Ladungsdurchsatz berücksichtigt. 

In Erweiterung dieses Ansatzes werden in Modellen mit gewichtetem Kapazi- 
tätsdurchsatz zusätzliche Faktoren berücksichtigt, z. B. die Abhängigkeit der 
Alterung von der Entladungstiefe. Um geeignete Gewichtungsfaktoren ermit- 
teln zu können, sind Erkenntnisse aus Versuchsreihen notwendig. 
Kombinationsmodelle setzen auf die Modellierung von Alterungsprozessen. 
In [144] werden die Korrosion der Platten, die Veränderung des Säuregehalts, 
die Gasung, die Sulfatierung und das Kristallwachstum berücksichtigt. Anhand 
des so erstellten Modells lassen sich die durch die verschiedenen Alterungsme- 
chanismen bedingten Eigenschaften der zu untersuchenden Energiespeicher 
während der verschiedenen Alterungsstufen detailliert untersuchen. Ein wei- 
teres physikochemisches Modell wird in [37] diskutiert. Zur Beschreibung 
von Alterungsvorgängen werden hier ebenfalls die Korrosion der Platten und 
die irreversible Sulfatierung genutzt. Beide Mechanismen führen infolge der 
Reduktion der aktiven Masse an den Platten und der Abnahme der Säuredichte 
zu einer Zunahme des Gitterwiderstandes. 

Eine weitere Möglichkeit der Lebensdauerschätzung ist die Berechnung von 
Zustandsgrößen in Abhängigkeit von der Belastung. Hierzu können datenge- 
triebene Modelle eingesetzt werden. Für Valve Regulated Lead Acid Batte- 
ry (VLRA)-Batterien wird in [35] ein auf einem Kalman-Filter beruhender 
Lebensdauerschätzer vorgestellt. Zur Entwicklung wurden Messdaten und Zu- 
standsgrößen (SOC, SOH) genutzt. 

Vor dem Hintergrund bekannter Belastungsprofile kann anhand der vorge- 
stellten Alterungsmodelle der Zustand einer gegebenen Blei-Säure-Batterie 
berechnet und prognostiziert werden. Die vorgestellten Modellierungsmetho- 
den liefern jedoch keine Erkenntnisse über die Zuverlässigkeit und bieten 
auch keine Möglichkeit, um Aussagen über das Auftreten plötzlicher Fehler zu 
treffen. 
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5.2.5 Zuverlässigkeitsmodell für Blei-Säure-Batterien 


Die Wahrscheinlichkeit für das Auftreten bestimmter Fehler kann nur auf der 
Basis von Felddaten ermittelt werden. Aus diesem Grund wurde im Rahmen 
der vorliegenden Arbeit eine Feldstudie durchgeführt. In diesem Abschnitt 
werden diese Studie sowie das daraus abgeleitete Wahrscheinlichkeitsmodell, 
wie bereits in [110] veröffentlicht, vorgestellt. 

Die Felddaten der hier erörterten Studie stammen aus Datenbankeinträgen 
über Batteriewechselintervalle aus Vertragswerkstätten der AUDI AG aus den 
Jahren 2009 bis 2017. Bei der Datenaufbereitung und -analyse wurden für alle 
Batterien die folgenden Arten von Daten genutzt: 


e Reparaturdaten, 
e Produktionsdaten, 
e Vertriebsdaten und 


e weitere spezifische Batteriedaten (Nennkapazität, Kaltstartstrom usw.) 


Bei der Auswertung der Daten wurde die grundsätzliche Annahme getroffen, 
dass eine in der Vertragswerkstatt getauschte Batterie fehlerhaft ausgefallen ist. 
Diese Annahme wurde deshalb getroffen, weil sie die Berechnung der Ausfall- 
wahrscheinlichkeit ermöglicht. Aufgrund der gewählten Stichprobengröße und 
der Art der Auswertung können jedoch keine Rückschlüsse auf die Fehlerart 
gezogen werden.? Darüber hinaus führt die Annahme zu Ungenauigkeiten bei 
Aussagen über die Lebensdauerverteilung, wobei die Eintrittswahrscheinlich- 
keit für relevante Fehler, die im Rahmen zyklischer Wartungsintervalle in den 
Vertragswerkstätten festgestellt werden, besonders stark zunimmt. [110] 

Die genannten Datenquellen ermöglichten die Auswertung von insgesamt 
1.043.463 ausgetauschten Blei-Säure-Batterien. In Abbildung 5.11 sind die 
jährlich getauschten Blei-Säure-Batterien über alle Fahrzeugmodelle pro Jahr 
dargestellt. Wie deutlich zu erkennen ist, unterscheidet sich die Anzahl der aus- 
gefallenen Batterien von Jahr zu Jahr nur geringfügig voneinander. Da in den 
Daten alle Fahrzeugmodelle und Produktionsjahre berücksichtigt sind, kön- 
nen keine direkten Schlussfolgerungen bezüglich der Lebensdauerverteilung 


3 Dies ist aber bspw. auf der Basis der in Abschnitt 5.2.3 diskutierten Studie (vgl. [3]) möglich. 
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Abbildung 5.11: Anzahl der pro Jahr ausgefallenen Blei-Säure-Batterien im Zeitraum zwischen 
2009 und 2017 nach [110] 


gezogen werden. Für diesen Zweck müssen die Daten zunächst so aufbereitet 
werden, dass gezielt Batterien mit gleichem Produktionsjahr untersucht und 
miteinander verglichen werden können. [110] 

Jeder Datensatz enthält spezifische Fahrzeug- und Batteriemerkmale. Zur Ana- 
lyse wurden die Daten anhand der in Tabelle 5.3 aufgeführten Merkmale aufbe- 
reitet und ausgewertet. Für die Datenanalyse wurden ausschließlich Blei-Säure- 
Batterien mit dem Produktionsjahr 2009 berücksichtigt. Daten von Batterien, 
deren Produktionsdatum vor dem Jahr 2009 lag, wurden von der weiteren 
Analyse ausgeschlossen. Zusätzlich wurden fehlerbehaftete Daten wie Aus- 
reißer aussortiert oder mit statistischen Methoden plausibilisiert. Anhand des 
Isolation-Forest-Algorithmus wurden die geeigneten Merkmale analysiert und 
daraufhin fehlerhafte Datensätze aus der Stichprobe entfernt [94]. Abschlie- 
Bend stand für die Erstellung des Zuverlässigkeitsmodells ein Datensatz mit 
Daten von 436.357 Blei-Säure-Batterien zur Verfügung. [110] 

Das Zuverlässigkeitsmodell für Blei-Säure-Batterien basiert im Wesentlichen 
auf der kalendarischen und durch Lastzyklen verursachten Alterung. Zufällige 
bzw. konstante Fehler sind in den Daten jedoch ebenfalls enthalten. Da die 
meisten Fehler von Blei-Säure-Batterien mit zunehmender Alterung auftreten, 
muss das Zuverlässigkeitsmodell sowohl durch Verschleiß bedingte als auch 
konstante Fehler berücksichtigen. Da ein datenbasiertes Zuverlässigkeitsmo- 
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Batteriedaten Fahrzeugdaten 
Kapazität Modell 
Kaltstartstrom Fahrzeuggeschwindigkeit 
Kilometerleistung | Fahrzeugtyp 
Lebensdauer Fahrzeugplattform 
Kilometer pro Jahr | Leistung 
Standzeit Kraftstofftyp 

Start-Stop-Assistent 
Getriebeart 
Hybridklasse 
Rekuperationslevel 
Standheizung 


Tabelle 5.3: Datenmerkmale der untersuchten Blei-Säure-Batterien und bei der Auswertung be- 
rücksichtigte Fahrzeugeigenschaften nach [110] 


dell abgeleitet werden soll, sind die Daten als Kontrollprobe zu betrachten und 
werden wie in Abbildung 5.12 dargestellt zensiert. Die bei der Auswertung be- 


Zpro , Zalt Zneu Zalt 


Zeit Zeit 


2009 2010 
(a) (b) 


Abbildung 5.12: Exemplarische Erläuterung der zensierten Daten: (a) Daten vor und (b) nach der 
Zensur nach [110] 


rücksichtigten Batterien wurden im Zeitraum 01. Januar 2019 bis 31. Dezember 
2019 zpr. produziert (vgl. Abbildung 5.12 (a)). Das Beobachtungsende wurde 
mit Zart im Jahr 2017 gewählt. Um aus den Daten eine Lebensdauerverteilung 
ableiten zu können, mussten diese zunächst zensiert werden. Da nicht alle 
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ausgewählten Blei-Säure-Batterien zum selben Zeitpunkt produziert wurden, 
war es notwendig, die Startzeit jeder beobachteten Batterielebensdauer auf 
das Datum der zuerst hergestellten Batterie zu verschieben. Hierzu wurde das 
Beobachtungsende Zart auf Zneu verschoben. Auf der Basis der so zensierten 
Daten konnte eine geeignete Verteilung gewählt werden. In Abbildung 5.13 ist 
die Massenverteilung der zensierten ausgefallenen Blei-Säure-Batterien dar- 
gestellt. Wie deutlich zu erkennen ist, musste ein geringer Anteil der Batterien 


Absolute Häufigkeit —> 


0 1 2 3 4 5 6 7 
Zeit t/Jahre —> 


Abbildung 5.13: Massenverteilung der zensierten Batteriedaten fiir ausgefallene bzw. in den Ver- 
tragswerkstätten als fehlerhaft getauschte Blei-Säure-Batterien nach [110] 


bereits zu Beginn der vorgesehenen Lebensdauer wegen Ausfall getauscht wer- 
den. Mit zunehmendem Alter wurden deutlich mehr Batterien getauscht, vor 
allem anlässlich der Wartungsaufenthalte nach dem ersten, zweiten und dritten 
Jahr. [110] 

Für die mathematische Modellierung verschleißbehafteter Systeme eignet sich 
die in Abschnitt 2.4.1 vorgestellte Weibullverteilung besonders gut. Die dar- 
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gestellten Daten lassen sich mit der folgenden Gleichung der Dichtefunktion 
beschreiben. 


k 
ful =4# (5.1) 
0 


u<O. 


Zur Berechnung des Formparameters k und des Skalenparameters u der 
Weibull-Verteilung ist ein Schätzer erforderlich. Normalerweise liefert der 
Maximum-Likelihood-Schätzer hinreichend gute Ergebnisse. Dieser kann hier 
jedoch nicht sinnvoll eingesetzt werden, weil bezüglich der hier vorliegenden 
Stichprobe nur die Menge der ausgefallenen Blei-Säure-Batterien bekannt ist. 
Da die Daten aufgrund der fehlenden Informationen zur Gesamtgröße der 
Stichprobe also unvollständig sind, wird zunächst ermittelt, wie viele Batte- 
rien gegen Ende des Beobachtungszeitraums noch nicht ausgefallen waren. 
Hierzu wird anhand der Freedman-Diaconis-Regel über die absolute Häufig- 
keit eine Massenverteilung erzeugt [54]. Als Stützpunkt für die Kurvenan- 
passung werden die Mitten der jeweiligen Datenbereiche verwendet. Wie in 
Abbildung 5.13 zu erkennen, ist bereits zu Beginn der Beobachtungen eine 
konstante Anzahl von Fehlern zu beobachten. Da dies nicht anhand einer ein- 
fachen Weibull-Dichtefunktion darstellbar ist, wird der Anteil der konstanten 
Fehler durch Hinzufügen einer weiteren Weibull-Dichtefunktion modelliert. 
Dies dient auch dazu, den verzögerten Beginn des Alterungsprozesses darstel- 
len zu können. Mit einer drei-parametrischen Weibull-Verteilung ergibt sich 
als Modellfunktion zur Minimierung der Residuen: 


ka-1 ft-tọ\ka t 
a (=) Se) aa. (5.2) 
Ha \ Ha Hr 
Hier sind ng die Anzahl der Alterungsfehler, n, die Anzahl der konstan- 
ten Fehler, tọ der Zeitpunkt ohne Alterungsfehler, ka der Formparameter für 
Alterungsfehler und k, der Formparameter für konstante Fehler. Der Skalie- 
rungsparameter für Alterungsfehler ist ya und für konstante Fehler u,. Die 
Parameter wurden anhand einer Partikelschwarmoptimierung (PSO) nach [65] 
ermittelt. Die PSO verwendet die oben genannten Parameter als Partikelkoor- 
dinaten im Lösungsraum und findet mithilfe der Schwarmintelligenz geeignete 
Parameter. Ein wesentlicher Vorteil der PSO besteht in der Möglichkeit zur 
Einführung von Parametergrenzen, wodurch eine schnellere Berechnung der 
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Lösung erzielt werden konnte. Die mittels PSO gefundenen Parameter sind 
in Tabelle 5.4 zusammengefasst. Die auf der Basis von Gleichung 5.2 entwi- 


Na | nr | to | ka [kr | Ha | Hr 
261718 | 1899 | 1.334] 2.385] 1 [2314.635 | 272.875 


Tabelle 5.4: Mittels PSO gefundene Parameter für die Weibull-Verteilung aus Gleichung 5.2 nach 
[110] 


ckelte Weibull-Verteilung weicht wie in Abbildung 5.14 dargestellt von den 


ursprünglich vorliegenden Daten ab. Hierbei ist der absolute Fehler im zeitli- 
chen Verlauf abgebildet. Wie in den Abbildungen 5.13 und 5.14 zu erkennen 


10 


Absoluter Fehler —> 
oo 


Zeit t/Jahre — 


Abbildung 5.14: Absoluter Fehler zwischen der ermittelten Weibull-Verteilung und den aufberei- 
teten Daten nach [110] 


ist, steigt der absolute Fehler vor allem zu den Zeitpunkten der Serviceaufent- 
halte nach den typischen Intervallen an. Die erste Wartung ist nach einem Jahr 
bzw. nach ca. 15.000 Kilometern fallig (je nachdem, welches Ereignis friiher 
eintritt). Im Allgemeinen ist dann alle zwei Jahre bzw. nach jeweils weiteren 
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30.000 Kilometern eine Wartung fällig. Die größten Fehler treten hierbei zeit- 
lich nach einem Jahr (a), nach drei Jahren (b) und nach vier Jahren (c) auf. 
Zwar treten auch nach fünf (d) und nach sieben Jahren (e) Maximalabweichun- 
gen auf. In diesen Fällen wird die Fehlerverteilung jedoch durch die Anhäufung 
von Batteriewechseln anlässlich der Wartungsaufenthalte nach den typischen 
Intervallen verfälscht, sodass die Abweichungen teilweise durch zu früh ge- 
tauschte, also noch funktionsfähige Batterien zustande kommen. Zusätzlich 
fehlt die Information, wie nahe die Batterien zum Zeitpunkt des Ausbaus der 
zu erwartenden Lebensdauer waren. [110] 

Es ist nicht möglich zu beurteilen, inwieweit sich unter den gefundenen Daten 
kritische Batteriefehler befinden. Für diesbezügliche Aussagen fehlen Informa- 
tionen zur Restkapazität und zum Innenwiderstand der getauschten Batterien. 
Dennoch können Aussagen zur Fehlerwahrscheinlichkeit über die gesamte 
Stichprobe getroffen werden. Hierzu werden folgend die Dichtefunktion F(t) 
und der Erwartungswert E(T) hergeleitet sowie der Verlauf der Ausfallrate 
berechnet. [110] 

Die Dichtefunktion basiert auf der Mischverteilung aus Gleichung 5.2. Da- 
her ist die Dichtefunktion ebenfalls eine Mischverteilung, bestehend aus der 
Summe 


k 
FO =),a KO. (5.3) 
i=l 
Mit den Faktoren a. = en re RED und k, = 1 kann Gleichung 5.3 
geschrieben werden als 
ft) =da: falt) + ar: Ft). (5.4) 
Hierbei ist die Dichtefunktion f;, (f) 
ka-1 ~to\k 
ka (t-—to\* A 
falt) = —& | 2) He ( Ha (5.5) 
Ha Ha 
und f(t) 
1 at 
f-@) = — -e r. (5.6) 
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Für die kumulierte Verteilungsfunktion folgt aus den Gleichungen 5.4 bis 5.6 
die Beziehung 


F(t) =f soa=a | fasa | Ha (5.7) 


Durch Auflösen der Gleichung folgt für 


t-to y 


F,(t)=1- Pa (5.8) 


und für 


F,(t)=1 ae, (5.9) 


Auf der Grundlage der Gleichungen 5.8 und 5.9 lässt sich die Überlebensfunk- 
tion angeben. Diese berechnet sich mittels Umkehrfunktion zu 


R(t) = 1- F(t) = aa (1 — Fa(t)) +a, (1 - F, (t)) (5.10) 
bzw. 
R(t) = agRa(t) +a, R, (t). (5.11) 


Auf der Basis der Definition der Ausfallrate aus Unterkapitel 2.4 sowie anhand 
der Gleichungen 5.4 und 5.11 wird die Ausfallrate berechnet mit 


f(t) = da falt) + ar fr(t) 


MDE Rs GR ea 


(5.12) 


Beziiglich der Ausfallrate kann zwischen zwei Anteilen unterschieden werden: 
Unter der Annahme, dass die Ausfallrate der konstanten Fehler A; = A (t) für 
t € [0,fo| konstant ist, ergibt sich 4% = A(0). Daraus folgt für den durch 
Alterung bzw. Verschleiß verursachten Anteil an der Ausfallrate 


Ag (t) = A(t) — 10). (5.13) 
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Unter Berücksichtigung beider Anteile kann die Ausfallrate angegeben werden 
mit 


A(t) = Ag(t) + Ar. (5.14) 


Neben der Ausfallrate ist auch der Erwartungswert von Interesse, da anhand 
dessen eine Aussage tiber die zu erwartende Lebensdauer getroffen werden 
kann. Der Erwartungswert berechnet sich mit Gleichung 2.31 zu 


k 
E(T) =) a E(T;) = Gata T (1+ 5] +arÀr. (5.15) 


i=l j 


In Abbildung 5.15 sind die zuvor hergeleiteten Funktionen über die Massen- 
verteilung der fehlerhaften Blei-Säure-Batterien dargestellt. Hierbei sind der 
Verlauf des altersbedingten Anteils fa (t) in schwarz, der Verlauf des konstan- 
ten Anteils f, (t) in grau und die daraus resultierende Verteilung in rot darge- 
stellt. Wie aus der Abbildung deutlich wird, bildet der resultierende Verlauf 
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Abbildung 5.15: Dichtefunktion und Massenverteilung der ausgefallenen Blei-Säure-Batterien 
nach [110] 


die vorliegenden Daten sehr gut ab. Der sich nach Gleichung 5.15 ergebende 
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Erwartungswert für die Lebensdauer einer Blei-Säure-Batterie liegt bei ca. 
2040 Tagen bzw. 5,7 Jahren. Hierbei muss erwähnt werden, dass der zur Be- 
rechnung verwendete Datensatz auch Daten von solchen Blei-Säure-Batterien 
enthält, die durch fehlerhafte Anwendung ausgefallen sind. Die häufigste in 
diesem Zusammenhang zu nennende Ursache ist die Tiefentladung, durch die 
es zum Batteriefehler und somit zum Austausch kommt. Tiefentladungen bei 
Blei-Säure-Batterien können entweder durch zu lange Lagerzeiten, durch zu 
lange Standzeiten der Fahrzeuge vor der Auslieferung oder durch Fehlanwen- 
dung durch den Fahrzeugkunden verursacht werden. [110] 

In Abbildung 5.16 ist die Wahrscheinlichkeitsfunktion F(t) nach den Glei- 
chungen 5.8 und 5.9 der Blei-Säure-Batterien dargestellt. Die aus den Daten 
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Abbildung 5.16: Wahrscheinlichkeitsfunktion für den Ausfall von Blei-Säure-Batterien nach [110] 


gewonnene Wahrscheinlichkeit für den Ausfall der Batterie basiert auf der An- 
nahme, dass für die beobachteten Daten ng = na +n, gilt. [110] 

Wie sich zeigt, wurde jede zweite Batterie bereits nach ca. 2000 Tagen (ca. 
5,5 Jahren) fehlerhaft und musste getauscht werden. Aus dem Verlauf ist weiter 
zu erkennen, dass nach ca. 5000 Tagen (ca. 14 Jahren) alle Blei-Säure-Batterien 
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ausgefallen waren. Für die Verwendung des stochastischen Modells aus Glei- 
chung 5.4 zur Bewertung der Zuverlässigkeit von Blei-Säure-Batterien und 
letztendlich der Zuverlässigkeit der elektrischen Energieversorgung muss die 
Ausfallrate A(t) von Blei-Säure-Batterien berechnet werden, da diese als Ba- 
sisereignis für die quantitative Analyse benötigt wird. Die Ausfallrate A(t) 
berechnet sich mit der Dichtefunktion f(t) aus Gleichung 5.4 und der Überle- 
benswahrscheinlichkeit R(T) aus Gleichung 5.10 zu A(t) = f(t)/R(T). Der so 
berechnete Verlauf der Ausfallrate ist in Abbildung 5.17 dargestellt. Die Aus- 
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Abbildung 5.17: Die Ausfallrate von Blei-Säure-Batterien nach [110] 


fallrate ist eine aggregierte Größe und beinhaltet alle Fehler, die zum Tausch 
einer Blei-Säure-Batterie in einer Fachwerkstatt geführt haben können. Die 
konstante Ausfallrate beträgt 1096 FIT und fällt damit so hoch aus wie erwar- 
tet. Mit zunehmender Alterung steigt die Ausfallrate aufgrund verschleißbe- 
dingter Fehler deutlich an und erreicht Ausfallraten von bis zu 50.000 FIT. 
Aus der Ausfallrate selbst können keine Rückschlüsse darauf gezogen werden, 
welche Fehler welches Gefährdungsniveau verursachen. Hierzu wird, wie oben 
erwähnt, die aus [3] bekannte Fehlerverteilung angewendet. [110] 
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5.3 Modell des Generators 


Die wesentliche Komponente in der elektrischen Energieversorgung von Kraft- 
fahrzeugen mit VKM ist der Generator. Uber ihn wird die Spannungslage in der 
elektrischen Energieversorgung geregelt und er versorgt die Verbraucher wäh- 
rend des Fahrbetriebs mit Energie. Entsprechend der zentralen Rolle, die der 
Generator für die elektrische Energieversorgung spielt, lassen sich Aussagen 
über die Zuverlässigkeit der elektrischen Energieversorgung im Allgemeinen 
nur in Abhängigkeit von Aussagen über die Zuverlässigkeit des Generators im 
Besonderen treffen. In diesem Unterkapitel soll daher auf der Basis einschlä- 
giger Standardwerke sowie eigener Untersuchungen ein belastungsabhängiges 
Zuverlässigkeitsmodell für den in Kraftfahrzeugen am weitesten verbreiteten 
Typ von Generatoren, den Klauenpolgenerator, entwickelt werden. Hierfür 
werden zunächst anhand der in Unterkapitel 3.3 entwickelten Gleichungen die 
Erwärmungen sowie die daraus resultierenden Verlustleistungen der einzelnen 
Komponenten von Generatoren berechnet. Die Ergebnisse dieses physikali- 
schen Modells dienen anschließend zusammen mit den in Unterkapitel 5.1 
vorgestellten Messdaten als Eingangsgrößen für ein Zuverlässigkeitsmodell 
zur Berechnung der Ausfallraten der einzelnen Komponenten des hier unter- 
suchten Typs von Generatoren. Zwecks Zusammenfassung von Fehlerszenarien 
für diese Art von Generatoren wird ein Fehlerbaum modelliert. Die Haupter- 
eignisse werden später in der Bewertung der Zuverlässigkeit der elektrischen 
Energieversorgung als Eingangsgrößen genutzt (vgl. hierfür Kapitel 6). 

Im Folgenden werden zunächst die grundsätzlichen Funktionen eines Gene- 
rators vorgestellt. Anschließend folgen die Beschreibung der oben genannten 
Temperatur- und Verlustleistungsmodelle sowie deren Validierung. 


5.3.1 Technologie 


Die primäre Funktion eines Generators ist die Wandlung von Bewegungsener- 
gie in elektrische Energie. Hierfür ist der Generator mittels Riementrieb als 
Nebenaggregat in einem festen Übersetzungsverhältnis mit der Kurbelwelle 
der VKM gekoppelt. 

Bezüglich der Bauart ist zwischen Gleichstrom- und Wechselstromgenera- 
toren zu unterscheiden. Erstere wurden aufgrund ihrer deutlich geringeren 
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Leistungsdichte in den letzten Jahrzehnten vollständig durch letztere ersetzt; 
dementsprechend wird der Fokus im Folgenden auf Wechselstromgenerato- 
ren liegen. Wechselstromgeneratoren sind fremderregte Synchronmaschinen, 
derer Läufer vermittels eines in die Erregerwicklung eingeprägten Stroms ein 
Magnetfeld aufbaut. Dieses Feld wird durch zwei Ringe mit schrägen Polen, 
den sogenannten Klauen, verstärkt. Aufgrund dieser Art der Läuferbauform 
werden diese Generatoren auch als Klauenpolgeneratoren bezeichnet. In Ab- 
bildung 5.18 ist ein Klauenpolgenerator mit den für seine Funktionsweise 
wesentlichen Komponenten im Schnitt dargestellt. Über die Bürsten wird in 


Statorwicklungen Erregerwicklungen Kugellager B 


Blechpaket 


Kugellager A Klauenpole 


Riemensdheibe Gleichrichterdioden 


© Ansteuerung 


Schleifringe 
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Abbildung 5.18: Darstellung eines Klauenpolgenerators mit Diodengleichrichtung im Schnitt nach 
[109] 


die Erregerwicklung ein Strom eingeprägt. In Abhängigkeit vom Erregerstrom 
und der auf die Riemenscheibe aufgebrachten Drehzahl wird durch die Fluss- 
änderung in den Statorwicklungen eine Spannung induziert, die anschließend 
mittels Dioden gleichgerichtet und in die elektrischen Energieversorgung ein- 
gespeist wird. 

Bei dem hier dargestellten Typ von Generatoren ist die Gleichrichtung über 
Dioden realisiert. Zur Erhöhung der Effizienz werden teilweise auch aktive 
und auf Leistungshalbleitern (z. B. Mosfets) basierende Gleichrichtungen ein- 
gesetzt. 

Auf der 48V-Spannungsebene können Generatoren dieses Typs zum Starten der 
VKM sowie zur kurzzeitigen Erhöhung der Antriebsleistung (Boost-Betrieb) 
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verwendet werden. Zur Gleichrichtung und Regelung der Antriebsleistung be- 
sitzen diese Generatoren einen Inverter. Der Leistungsteil dieses Inverters ist 
meistens als B6-Briicke mit Mosfets als Leistungsschaltern ausgefiihrt, wobei 
die B6-Brücke entweder via Mikrocontroller oder mittels Application-Specific 
Integrated Circuit (ASIC) geregelt wird [134], [155], [71], [114], [142], [158]. 
Die Ausgangsleistung von Generatoren des hier betrachteten Typs wird auf 
die Summe der mittleren Verbraucherleistungen ausgelegt. Abhängig vom 
Ausstattungsumfang und damit von der Verbraucherleistung werden in den 
verschiedenen Kraftfahrzeugklassen Generatoren mit einer Leistung zwischen 
100 und 250 Ampere Dauerstrom eingesetzt. Während in Fahrzeugklassen 
unterhalb der Oberklasse Generatoren mit einer Ausgangsleistung von bis zu 
180 Ampere mit passiver Gleichrichtung und erzwungener Konvektion ver- 
baut werden, kommen in Fahrzeugen der Oberklasse Generatoren mit aktiver 
Gleichrichtung und teilweise auch solche mit Wasserkühlung zum Einsatz. 
Unabhängig von der Kühlungsart ist in Abbildung 5.19 in Anlehnung an [147] 
und [114] der Schaltplan eines Klauenpolgenerators mit einer Diodengleich- 
richtung und Statorwicklungen in Sternschaltung dargestellt. Bei Generatoren 
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Abbildung 5.19: Schaltplan eines Klauenpolgenerators mit Diodengleichrichtung und Statorwick- 
lungen in Sternschaltung, angelehnt an [147] und [114] 


dieser Bauart wird der Ausgangsstrom ig in Abhängigkeit von der Drehzahl 
über die Höhe des Erregerstroms ig geregelt. Der Regler erfasst dabei die 
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Ausgangsspannung ug (t) und nutzt diese als Führungsgröße für die Regelung 
des Erregerstroms. Die Ausgangsspannung des Generators setzt sich aus den 
um jeweils 120 Grad gegeneinander versetzten Phasenspannungen u. (f), up (t) 
und ue(t) zusammen, die sich nach [114] wie folgt berechnen lassen: 


ualt) = K - we -if sin(we : t), (5.16) 
ie: 8 2 
up(t) =K-We- if: Sin(We - t — 3”) und (5.17) 
Syed 2 
Uc(t)=K-We-if + sin(We -t+ 3% (5.18) 


Hierbei sind der Parameter K der Verstärkungsfaktor des Generators, i der 
Feldstrom und we die Drehzahl des Läufers. 

Grundsätzlich werden Generatoren dieser Bauart auf der Basis von Dreh- 
zahlkollektiven und den zu erwartenden Strömen in der elektrischen Energie- 
versorgung ausgelegt, wobei die Generatoren für einen Betrieb im niedrigen 
Drehzahlbereich optimiert sind, d. h., das Optimum des Wirkungsgrads liegt 
im niedrigen Drehzahlbereich. Mit zunehmender Drehzahl und Ausgangsleis- 
tung nehmen die Verluste deutlich zu. 

Zur Beschreibung der Zuverlässigkeit bzw. zur Berechnung von belastungs- 
abhängigen Ausfallraten für Generatoren dieses Typs müssen die einzelnen 
Verlustanteile und die dadurch verursachten Belastungen bekannt sein. Daher 
werden im Folgenden die einzelnen Verlustleistungen diskutiert. 


5.3.2 Verlustleistung 


Die Gesamtverluste von Klauenpolgeneratoren setzen sich nach [59] aus den 
folgenden Teilverlusten zusammen: 


e Wicklungsverluste, 
e Gleichrichterverluste, 


e Eisenverluste sowie 
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e Lager- und Bürstenverluste. 


Wicklungsverluste lassen sich weiter unterteilen in Stator- und Erregerwick- 
lungsverluste, wobei der größte Anteil der Wicklungsverluste auf statische 
Verluste in den Statorwicklungen entfällt. Im Vergleich hierzu tragen die Ver- 
luste in der Erregerwicklung nur geringfügig zum Gesamtverlust bei. In Ab- 
hängigkeit von der Temperatur und dem Ausgangsstrom berechnet sich die 
Verlustleistung der Statorwicklung zu 


soy, (5.19) 


v3 


Die statischen Verluste in der Erregerwicklung lassen sich angeben mit 


Pvws(f) = Rs(#) i | 


Pvwe(t) = Re (0) - ig(t)’. (5.20) 


Beziiglich der Gleichrichterverluste ist allgemein zu sagen, dass die Zusam- 
mensetzung der hier eingebrachten Verlustleistungen primär vom Aufbau der 
Gleichrichtung abhängt. Sowohl für die passive als auch für die aktive Gleich- 
richtung setzen sich die Verluste dabei aus einem statischen sowie aus einem 
dynamischen Anteil zusammen. Für die Diodengleichrichtung teilen sich die 
Verluste demnach wie folgt auf: 


PVep (t) = Ur :ip(t) + rp(t,9) + ip(t)? + 5 -up(t) -ip(t) ts: fs. (5.21) 


a ee | 
statisch dynamisch 


Der statische Verlustanteil setzt sich zusammen aus der im Arbeitspunkt kon- 
stanten Durchflussspannung Ur, dem temperaturabhängigen differentiellen 
Widerstand rp der Diode und dem Strom ip(t). Die dynamischen Verlu- 
stanteile sind auf die Schaltfrequenz fs und die Schaltzeit der Diode ts zu- 
rückzuführen. Aufgrund der niedrigen Schaltfrequenz tragen die dynamischen 
Verluste nur geringfügig zu den Gesamtverlusten der Diode bzw. der Dioden- 
gleichrichtung bei. Die Verluste in der aktiven Gleichrichtung basieren auf 
der Annahme, dass Mosfets als Leistungsschalter genutzt werden. Die Verlust- 


161 


Belastungs- und Zuverlässigkeitsmodelle 


leistung für einen Leistungsschalter der aktiven Gleichrichtung berechnet sich 
zu 


: 1 l 
Pvam (t) = Roston) ‘im (t) + 5 ups(t)-im(t)-ts - fs. (5.22) 
[ZZ Ze Jr 
statisch dynamisch 


Hierbei setzen sich die statischen Verluste aus dem strom- und temperaturab- 
hängigen Drain-Source-Widerstand (Rps(on)) und dem Strom im (t) zusam- 
men. Im Vergleich zur Diode fällt der Kanalwiderstand von Mosfets deutlich 
geringer aus, wodurch in Abhängigkeit vom Strom respektive von der Tempe- 
ratur ebenfalls deutlich geringere Verluste als in der Diode auftreten. 

Die Schaltverluste der Mosfets berechnen sich anhand des im Schaltvorgang 
fließenden Stroms im (t), der Spannung ups, der Summe aus Ein- und Aus- 
schaltzeit ts und der Schaltfrequenz fs. Letztere ist - unter der Annahme, dass 
die gleiche Anzahl von Polpaaren wie in der Diode vorliegt — mit der Schaltfre- 
quenz der Diodengleichrichtung identisch. Daher sind auch die Schaltverluste 
deutlich geringer. 

Leistungsschalter in Form von Mosfets werden mit dem Ziel der Reduktion 
des Bahnwiderstands Rps (on) stetig weiterentwickelt. Während der Model- 
lerstellung wurden als Datengrundlage aktuelle N-Kanal-Mosfets für die ak- 
tive Gleichrichtung herangezogen. Hierbei bewegt sich der Bahnwiderstand 
Rps(on) bei 25°C zwischen 1mQ <Rps(on)< 5mQ. Dadurch fallen die 
einzelnen Verlustanteile gegenüber den Verlusten der Diodengleichrichtung 
ebenfalls geringer aus. 

Neben den Gleichrichtungsverlusten haben auch Eisenverluste einen signi- 
fikanten Beitrag zu den Gesamtverlusten der hier betrachteten Generatoren. 
Hierbei teilen sich die magnetischen Verluste in Wirbelstrom- und Hyste- 
reseverluste auf [77], [78], [36]. In Näherung lassen sich die Eisenverluste 
berechnen mit 


2 


— 7 (f ` Baad +2: f ` Hc - Bmax- (5.23) 
2 


Pvrz = Pvw + Pvays = 
Hierbei sind f die Frequenz der Feldänderung, Bmax die maximale magneti- 
sche Flussdichte, o = 1/p die Leitfähigkeit, Hc die magnetische Feldstärke 
und d die Materialstärke senkrecht zur Feldrichtung. Sowohl im Läufer als 
auch im Stator treten beide Verlustanteile, also sowohl Wirbelstrom- als auch 
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Hystereseverluste, auf. 

In dem hier beschriebenen Modell wurden die Eisenverluste aus Verlustleis- 
tungsmessungen berechnet, da die Parametrierung der Parameter in Glei- 
chung 5.23 zu ungenauen Ergebnissen gefiihrt hat. In [59] wurde gezeigt, 
dass sich die Eisenverluste bei guter Genauigkeit mit folgender Gleichung 
berechnen lassen: 


Pype = Pabs — Pvws = Pieneu (É) = Py; = Pyy =A (5.24) 
mit 
Pabs = Mg :- Q+ PY und P4 = ig: Ug. (5.25) 


Hierbei sind Mg das Drehmoment an der Generatorwelle, Q die Genera- 
tordrehzahl, ig der Ausgangsstrom und Ug die Ausgangsspannung des Ge- 
nerators. Der Anteil mechanischer Verluste Lager- und Bürstenverluste an 
der gesamten Verlustleistung ist gering. Für die Lebensdauerbetrachtung der 
mechanischen Komponenten ist dennoch relevant, inwieweit diese zusätzlich 
belastet werden. Die Läufer-Welle ist mittels Kugellagern gelagert. In diesen 
treten vor allem Reibungsverluste auf. Die Verlustleistung berechnet sich in 
Abhängigkeit von den Eigenschaften der jeweils verwendeten Lager mit 


Py, = kr: Mr: ng. (5.26) 


Dabei sind kz ein konstanter Faktor von 1,05 - 1075 [89], Mz, das Gesamtrei- 
bungsmoment und ng die Generatordrehzahl. 

Ein ebenfalls vergleichsweise geringer Verlustanteil ist auf die Bürsten zur 
Kontaktierung der Erregerwicklung zurückzuführen. Aufgrund der Läuferro- 
tation treten an der Kontaktstelle zwischen Bürste und Schleifring Reibungs- 
verluste auf. Zusätzlich besitzt die Kontaktstelle einen temperaturabhängigen 
ohmschen Widerstand, was dazu führt, dass die Belastung der Bürsten mit zu- 
nehmender Drehzahl und ansteigendem Erregerstrom deutlich zunimmt. Die 
Reibungsverluste berechnen sich analog zu Gleichung 5.26. Unter Hinzunahme 
des elektrischen Verlustanteils berechnen sich die Bürstenverluste zu 


Pvp = Mg -ng + Rp(9)-ig(t)’. (9:27) 


Der mechanische Anteil des Reibungsmoments Mz resultiert aus der Anpress- 
kraft der Kohlebürste und dem Reibungskoeflizienten zwischen Kohlebürste 


163 


Belastungs- und Zuverlässigkeitsmodelle 


und Schleifring. Zu den gesamten Verlusten der Bürsten kommen der elek- 
trische Anteil Rz und der Erregerstrom ig hinzu. Die gesamte Generatorver- 
lustleistung berechnet sich in jedem Arbeitspunkt durch Aufsummierung aller 
Einzelverluste: 


Pyg = Pyws + Pvan.cm(t) + Pv, + Pyg. (5.28) 


5.3.3 Verlustleistungsmodell 


Nachdem im vorausgegangenen Abschnitt die Verlustleistungen fiir die ver- 
schiedenen Komponenten eines Klauenpolgenerators erörtert wurden, können 
diese Teilbetrachtungen nun zu einem gesamthaften Verlustleistungsmodell 
zusammengeführt werden. Das Modell ist so aufgebaut, dass die in Unterka- 
pitel 5.1 beschriebenen Messdaten als Eingangsgrößen für die Berechnung 
der Verlustleistungen genutzt werden können. Auf der Basis dieser Eingangs- 
daten erfolgt eine iterative Berechnung der Verlustleistungen der einzelnen 
Komponenten des Generators. Um den realen Belastungsverlauf abbilden zu 
können, ist zu jedem Zeitschritt die Verlustleistung mit der Temperatur aus dem 
jeweils vorangegangenen Zeitschritt zu berechnen, da sich durch eine Tempe- 
raturänderung auch die nicht linearen Parameter der einzelnen Generatorkom- 
ponenten ändern. Zum Zweck der iterativen Berechnung wird im folgenden 
Abschnitt ein Temperaturmodell entwickelt, anhand dessen sich für jeden Zeit- 
schritt die Temperaturdifferenz der einzelnen Komponenten berechnen lässt. 
Unter Berücksichtigung beider Modelle sind in Abbildung 5.20 die Verlust- 
leistungsverläufe der einzelnen Komponenten eines Klauenpolgenerators über 
eine konstante Drehzahl bei zunehmendem Ausgangsstrom ig dargestellt. An 
den Verläufen in (a) ist deutlich zu erkennen, dass die Gleichrichtungsverluste 
den größten Anteil an den Gesamtverlusten haben. Die im Stator umgesetzten 
Verlustleistungen steigen mit zunehmender Höhe des Ausgangsstroms qua- 
dratisch an, wobei die statischen Verluste der Statorwicklungen dominieren. 
Die Eisenverluste nehmen mit steigender Ausgangsleistung ebenfalls zu, al- 
lerdings fällt die Steigung hier deutlich geringer aus. Die Verlustleistungen 
der Schleifringe sind in (b) fokussiert dargestellt. Wie deutlich wird, sind die 
Verlustleistungsanteile der Schleifringe und der Lager im Verhältnis als gering 
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Abbildung 5.20: Verlustleistungen der einzelnen Komponenten eines Klauenpolgenerators bei ei- 
ner Motordrehzahl von 3000 min”! und einer Anfangstemperatur von 20°C 


einzustufen. 

Das Verlustleistungsmodell fiir die hier betrachteten Klauenpolgeneratoren 
wurde auf der Basis von Messdaten aus eigenen Generatorversuchen vali- 
diert [173]. In Abbildung 5.21 ist der Wirkungsgradverlauf über den Aus- 
gangsstrom bei Motordrehzahlen von 1800, 2000 und 2500 min! dargestellt. 
Wie anhand der eingezeichneten Datenpunkte erkennbar wird, liefert der Wir- 
kungsgradverlauf für geringe Ausgangsströme gute Ergebnisse. Sowohl bei 
zunehmender Ausgangsleistung als auch bei zunehmender Drehzahl weist die 
Modellberechnung nur geringfügige bzw. leichte Abweichungen auf. Das Ver- 
lustleistungsmodell liefert also bereits hinreichend gute Ergebnisse. Wie oben 
bereits angedeutet wurde, ist das hier vorgestellte Verlustleistungsmodell je- 
doch temperaturabhängig. Für optimale Ergebnisse ist es daher notwendig, 
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Abbildung 5.21: Modellberechnung der Wirkungsgradverläufe bei verschiedenen Motordrehzah- 
len mit Messpunkten, aufgezeichnet mit einem 12V-Klauenpolgenerator und 
Imax = 180A als Ausgangsstrom 


das Verlustleistungsmodell mit einem entsprechenden Temperaturmodell zu 
koppeln. Dieses wird im nun folgenden Abschnitt entwickelt. 


5.3.4 Temperaturmodell 


Die Temperaturentwicklung in den hier betrachteten Klauenpolgeneratoren ist 
eine wesentliche Größe fiir die Bewertung ihrer Zuverlässigkeit. Durch eine 
unzulässig hohe Erwärmung können irreversible Schäden verursacht werden, 
infolge derer der Generator ausfallen kann. Zur Bestimmung der Ausfallwahr- 
scheinlichkeiten ist es daher relevant zu wissen, wie sich der Generator bei 
Normal- sowie bei Maximalbetrieb erwärmt. Hierzu wird im Folgenden auf der 
Basis der Kirchhoffschen Gesetze ein Temperaturmodell entwickelt, anhand 
dessen in Abhängigkeit von der Verlustleistung und der Umgebungstempera- 
tur für jeden Zeitschritt die Temperaturveränderung innerhalb der einzelnen 
Komponenten bzw. im Generator als Ganzen berechnet werden kann. Das Mo- 
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dell beruht dabei auf den Annahmen, dass die Generatoren luftgekühlt sind 
und dass die Verlustleistung sowie die Temperaturverteilung in den jeweiligen 
Komponenten homogen ist. 

Die im vorigen Abschnitt beschriebenen Verlustleistungen werden in den je- 
weiligen Komponenten umgesetzt und verursachen dort eine lokale Tempera- 
turerhöhung. Diese lässt sich in Abhängigkeit von den Verlustleistungen im 
jeweiligen Arbeitspunkt anhand des hier zu entwickelnden Temperaturmodells 
bestimmen. Maßgebliche Faktoren hierfür sind die Geometrie und die Kühlart 
des fraglichen Generators. Denn der Wärmetransport zwischen den Kompo- 
nenten untereinander und an die Umgebung erfolgt über 


e Wärmeleitung, 
e Konvektion und 


e Wärmestrahlung. 


Eine gute Wärmeleitung besteht vor allem zwischen den einzelnen Baugrup- 
pen Läufer, Stator und Gleichrichtung, und zwar aufgrund der konstruktiven 
Kopplung und der sich daraus ergebenden guten Wärmeleitfähigkeit zwischen 
diesen Komponenten. Zusätzlich wird der Generator durch fest mit dem Läu- 
fer verbundene Lüfterräder gekühlt. Die hierdurch erzwungene Konvektion 
nimmt mit steigender Generatordrehzahl zu. Vereinzelt kommen zwar auch 
wassergekühlte Generatoren zum Einsatz, insbesondere dann, wenn hohe Aus- 
gangsleistungen gefragt sind. In den meisten Kraftfahrzeugen werden jedoch 
luftgekühlte Generatoren verbaut. Dementsprechend bezieht sich das im Fol- 
genden entwickelte Temperaturmodell auf luftgekühlte Klauenpolgeneratoren. 
Das hier entwickelte thermische Modell baut auf den in den Arbeiten [100] 
und [98] vorgestellten thermischen Netzwerken auf. Für jede Art des Wärme- 
transports wird im Folgenden ein eigener Widerstand bzw. eine Kombination 
aus Widerständen definiert. Die Parametrierung erfolgt dabei auf der Basis von 
Messdaten und Thermographiken bzw. Aufheizkurven aus eigenen Generator- 
versuchen [173]. 

Die thermischen Widerstände bzw. Wärmetransportmechanismen sind durch 
die erzwungene Konvektion von der Läuferdrehzahl abhängig. Zur Erstellung 
der thermischen Netzwerke für die hier betrachteten Klauenpolgeneratoren 
müssen die Geometrien der darin verbauten Komponenten sowie die domi- 
nanten Transportmechanismen berücksichtigt werden. Grundlegende Arbeiten 
diesbezüglich finden sich in [20], [21], [100], [27], [157], [179] und [98]. Das 
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von [100] vorgeschlagene thermische Modell für Klauenpolgeneratoren wur- 
de dabei als Grundlage für das im Folgenden entwickelte Modell ausgewählt. 
In Abbildung 5.22 (a) ist das Verlustleistungsmodell und in (b) das Wider- 
standsnetzwerk der Transportmechanismen des untersuchten Klauenpolgene- 
rators dargestellt. Hierbei speisen die Verlustleistungsquellen in die jeweiligen 
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Abbildung 5.22: Temperaturmodell eines Klauenpolgenerators nach [100]; (a) Verlustleistungs- 
quellen, (b) thermisches Ersatzschaltbild des untersuchten Klauenpolgenerators. 
Die in (b) dargestellten Widerstände sind bezüglich der jeweiligen Warmetrans- 
portart gekennzeichnet. 


Netzwerkknoten des thermischen Netzwerks ein (pt23, pt24 usw.). Jede Ver- 
lustleistungsquelle führt durch den Widerstand des Warmetransports zunächst 
zur Erwärmung der einzelnen Komponente. Die sich daraus ergebende Tem- 
peraturdifferenz zwischen der erwärmten Komponente und ihrer Umgebung 
führt zu einem entsprechenden Wärmetransport. Die in Abbildung 5.22 (a) 
dargestellten Verlustleistungsquellen stimmen - bis auf die dort zusätzlich 
berücksichtigten Lüfterradverluste — mit den Verlustleistungsquellen aus Ab- 
schnitt 5.3.2 überein. 

In [100] wird bezüglich der Verlustleistungsquellen zwischen Eisen-, Kupfer-, 
Gleichrichter- und mechanischen Verlusten unterschieden. Die in (a) darge- 
stellten Verlustleistungsquellen sind dementsprechend: 


e Eisenverluste (ij Stator-Blechpaket, ij2 Stator-Verzahnung und ij7 Ei- 
senverluste des Rotors) 
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e Kupferverluste (i13 Kupferverluste der Statorwicklung, i18 Kupferverlus- 
te der Erregerwicklung, i29 Kupferverluste der Statorwicklung) 


e Gleichrichterverluste (i24 Verlustleistung der Gleichrichterdioden) 


e Mechanische Verluste (i23 Lüfterradverluste und i27 Lagerverluste) 


Die Erwärmung der verschiedenen Komponenten sowie der Wärmetransport 
zwischen ihnen und ihrer Umgebung ist von den eingebrachten Verlustleis- 
tungen abhängig. Die hierbei relevanten Mechanismen des Wärmetransports 
sind in (b) mittels Widerstandsnetzwerk dargestellt. Wie erkennbar wird, do- 
minieren die Wärmeleitung und die Kombination aus freier bzw. erzwungener 
Konvektion. 

Ein mit dem in [100] entwickeltes vergleichbares thermisches Netzwerk für den 
Klauenpolgenerator wurde in [98] vorgestellt. In beiden thermischen Netzwer- 
ken werden als Modellelemente für die Wärmetransportmechanismen elek- 
trische Widerstände genutzt. Die Parameter der Widerstände können dabei 
entweder analytisch oder mittels Messdaten berechnet werden. Beide Modelle 
liefern hinreichend gute Resultate. In Abbildung 5.23 ist in (a) das thermische 
Netzwerk nach [100] und in (b) das nach [98] dargestellt. Das in (b) dargestellte 
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Abbildung 5.23: Thermische Netzwerke fiir die Temperaturmodelle von Klauenpolgeneratoren; in 
(a) das thermische Netzwerk nach [100] und in (b) das nach [98]. 


Modell beinhaltet als Verlustleistungsquellen Kupfer-, Eisen- und mechanische 


Verluste. Anders als in dem Modell nach [100] werden Gleichrichterverluste 
in dem hier gezeigten Modell also nicht beriicksichtigt. 
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Auf der Grundlage dieser beiden Netzwerke wurde, ausgehend von den Verlust- 
leistungsquellen für die Teilkomponenten, ein eigenes thermisches Modell für 
Klauenpolgeneratoren entwickelt. Dabei wurden zur Parameterberechnung ver- 
schiedene Quellen genutzt: Informationen über die Materialeigenschaften (die 
Warmeleitfahigkeit und die spezifische Wärmekapazität), Messdaten aus eige- 
nen Generatorversuchen [173] sowie thermische Ersatzschaltbilder für Halb- 
leiterbauelemente in Form von Cauer- oder Foster-Netzwerken, die von den 
Halbleiterherstellern bereitgestellt werden. Unbekannte Parameter wurden mit- 
tels einer PSO ermittelt. Die Grundlage für die Parameterberechnung mittels 
PSO bildet das in Abbildung 5.24 dargestellte Temperaturmodell eines Klau- 
enpolgenerators. Die einzelnen in der Abbildung zu sehenden Widerstände 
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Abbildung 5.24: Thermisches Netzwerk eines Klauenpolgenerators 


repräsentieren die verschiedenen Wärmetransportmechanismen. Im Fall der 
Wärmeleitung werden in den Materialien Foster-RC-Netzwerke mit thermi- 
schen Widerständen und Wärmekapazitäten berücksichtigt. Das dargestellte 
Netzwerk wurde analytisch beschrieben. Aus dieser Beschreibung wurde die 
Fehlerfunktion für die PSO abgeleitet. Unter Hinzunahme der Verlustleistungs- 
modelle aus Abschnitt 5.3.2 konnten so mittels PSO aus den Generatormess- 
daten der eigenen Generatorversuche die fehlenden Parameter für das hier 
entwickelte thermische Modell eines Klauenpolgenerators berechnet werden. 


170 


5.3 Modell des Generators 


Das in Abbildung 5.24 vorgestellte Temperaturmodell wurde auf der Basis von 
Messdaten eines Klauenpolgenerators mit Diodengleichrichtung und einem 
maximalen Ausgangsstrom von 180 Ampere erstellt. Der Generator wurde da- 
bei mit unterschiedlichen Drehzahlen und Ausgangsleistungen beaufschlagt, 
wobei die Temperaturveränderungen mittels Infrarotkamera gemessen wur- 
den. In Abbildung 5.25 (a) bis (c) sind die Wärmebildaufnahmen der Gene- 
ratorrückseite dargestellt. Deutlich zu erkennen sind die eingepressten Gleich- 
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Abbildung 5.25: Wärmebildaufnahmen des untersuchten Klauenpolgenerators mit Fokus auf die 
Gleichrichtung, den Regler, den Laufer und die Lager. Die Messungen erfolgten 
bei ng = 4047 min-! und ig = 106 Ampere nach 50 Sekunden (a), nach 
150 Sekunden (b) und nach 300 Sekunden (c). In (d) sind die dabei gemessenen 
sowie die simulierten Temperaturverläufe dargestellt. 


richterdioden und die hier auftretenden Temperaturerhöhungen. Während der 
thermischen Vermessung des Klauenpolgenerators betrug die Umgebungstem- 
peratur ca. 25°C. Der Generator wurde mit einer Drehzahl ng von 4047 min“! 
angetrieben und dabei auf einen Ausgangsstrom von 106 Ampere geregelt (was 
bei einer Spannung von 14,5 Volt einer Leistung von ca. 1,5 kW entspricht). 
Die Spitzentemperatur nach 300 Sekunden betrug bei den Gleichrichterdioden 
auf der Gehäuseseite ca. 100°C und bei den zusätzlich in einen Kühlkörper 
eingepressten Dioden ca. 70°C. In (d) sind zusätzlich die Temperaturverläufe 
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der einzelnen Komponenten über die gesamte Messreihe dargestellt. Mit den so 
ermittelten Parametern liefert die Simulation die in (d) dargestellten Verläufe. 
Wie zu sehen ist, sind die Abweichungen über den gesamten Verlauf hinweg 
äußerst gering. Die größten Abweichungen sind zu Beginn feststellbar. 

Für die Messung der Statortemperatur und damit für die Berechnung der 
Modellparameter wurden die in Abbildung 5.26 dargestellten Wärmebildauf- 
nahmen genutzt. Die hier dargestellten Messungen wurden an dem gleichen 
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Abbildung 5.26: Wärmebildaufnahmen des untersuchten Klauenpolgenerators mit Fokus auf die 
Statorwicklung und das Gehäuse bei ng = 8000 min-! und ig = 184 Ampere. 
Die Aufnahmen wurden nach ca. 50 Sekunden (a), nach ca. 200 Sekunden (b) 
und nach ca. 400 Sekunden (c) gemacht. In (d) sind die gemessenen Temperatur- 
verläufe sowie die Ergebnisse der Simulation abgebildet. 


Generator wie oben vorgenommen, jedoch bei einer Generatordrehzahl von 
8000 min”! und einem Ausgangsstrom von 184 Ampere (was bei einer Span- 
nung von 14,5 Volt einer Leistung von ca. 2,7 kW entspricht). Die in (d) darge- 
stellten berechneten und gemessenen Temperaturverläufe stimmen hinreichend 
gut miteinander überein. Die simulierte Temperatur der Statorwicklung weicht 
ab einem Zeitpunkt von ca. 250 Sekunden zunehmend von der gemessenen 
Temperatur ab. Dieser Fehler basiert auf Messpunkten, an denen der Wärme- 
strom durch die Kühlung überlagert wurde. Trotz dieser geringfügigen Fehler 
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liefert das Modell eine hinreichende Genauigkeit, um die Zuverlässigkeit des 
Generators bestimmen zu können. 


5.3.5 Zuverlässigkeitsmodell des Generators 


Die wesentliche Aufgabe des Generators ist die Versorgung der Verbraucher 
während des Fahrbetriebs. Dynamische Ströme mit hohen Stromgradienten 
(di/dt) werden hingegen von der Batterie bereitgestellt. Eine kritische Lage in 
der elektrischen Energieversorgung tritt dann ein, wenn der Generator keine, 
einereduzierte oder die maximale Leistung liefert. Um eine Zuverlässigkeitsbe- 
wertung für den Generator abgeben zu können, muss bekannt sein, mit welcher 
Wahrscheinlichkeit es zu diesen Fehlern und damit zu kritischen Situationen 
kommt und welche Auswirkungen diese genau haben. 

Bei fehlender Ausgangsleistung des Generators wird die Batterie sukzessive 
entladen. Je nach aktueller Verbrauchslage der aktiven Verbraucher bzw. je 
nach Aktivität der Assistenzsysteme und des Energiemanagements kann dies 
zu Unterspannungen und damit zu einem Ausfall wesentlicher Verbraucher 
führen. Eine reduzierte Leistungsausgabe seitens des Generators wird dann 
kritisch, wenn die Batterie eine negative Ladebilanz aufweist bzw. wenn die 
Fahrzeuglast für eine Quelle zu hoch ist. Liefert der Generator eine zu hohe 
Ausgangsleistung, führt dies zu einer Überspannung in der elektrischen Ener- 
gieversorgung, auch als Lastabwurf (Load Dump) bekannt. Je nach Energie- 
eintrag und Impedanz des Bordnetzes können Verbraucher dabei irreversibel 
geschädigt werden. 

In diesem Abschnitt werden zunächst die typischen Fehler, ihre Häufigkeits- 
verteilungen sowie ihre Auswirkungen vorgestellt und diskutiert. Auf dieser 
Basis wird anschließend ein Teilfehlerbaum für Klauenpolgeneratoren entwi- 
ckelt. Der Abschnitt schließt mit der Beschreibung der Zuverlässigkeitsmodel- 
le aus den Handbüchern FIDES [48], HDBK-217Plus [130], NSWC-11 [111], 
SN29500 [151] und TR62380 [12], die zur Berechnung der Ausfallraten ein- 
zelner Komponenten des hier untersuchten Generatortyps dienen. 


Generatorfehler 


Alle Komponenten eines Generators können fehlerhaft werden und dadurch 
die Funktionalität des Generators einschränken. In welcher Art und in welchem 
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Umfang die elektrische Energieversorgung beeinträchtigt wird, hängt von der 
Fehlerauswirkung ab. Wenn bspw. die Kopplung zur VKM ausgefallen ist, 
die Statorwicklung bzw. die Erregerwicklung unterbrochen ist oder der Regler 
inklusive der Bürsten und Schleifringe defekt ist, stellt der Generator nur noch 
eine reduzierte bzw. gar keine Ausgangsleistung mehr bereit. Auch offen aus- 
gefallene Gleichrichterdioden führen zur Reduktion der Leistung oder sogar 
zum gänzlichen Ausfall des Generators. 

Neben den Fehlern der Komponente selbst kann auch die Kontaktierung zwi- 
schen Generator und der elektrischen Energieversorgung fehlerhaft werden. 
Die Anbindung des Massepotentials erfolgt über den Rumpf der VKM und 
mittels Masseleitung zur Karosserie. Das positive Potential wird über eine 
abgesicherte Leitung an die zentrale Verteilstelle angebunden. Dabei kann die 
Masseverbindung einen erhöhten Übergangswiderstand aufweisen bzw. offen 
ausfallen (vgl. Abbildung 5.27 (a) [135]). In (b) ist ein fehlerhafter Anschluss- 


Abbildung 5.27: Darstellungen aus der Untersuchung [135]; in (a) fehlerhafte Leitung der Masse- 
anbindung an die Karosserie und in (b) ein Anschlussbolzen mit beschädigtem 
Gewinde. 


bolzen dargestellt. Die Beschädigung der Schraubverbindung führt zu einer 
verringerten Anpresskraft und infolgedessen zu einem erhöhten Übergangs- 
widerstand zwischen Kabelschuh und Auflage- bzw. Kontaktfläche. Durch 
Erschütterungen kann die Verbindung kurzzeitig oder dauerhaft offen ausfal- 
len. 

Neben Fehlern in oder an den Verbindungsstellen überwiegen bei Klauen- 
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polgeneratoren Ausfälle, die durch die Gleichrichtung, den Regler bzw. die 
Statorwicklungen verursacht werden. Hauptausfallursache sind allgemein alle 
Komponenten, die hohen Temperaturen und Wechselbelastungen ausgesetzt 
sind. In den Studien [109], [92], [128] und [127] finden sich entsprechende 
Fehlerverteilungen, die für die Zwecke der hier vorliegenden Arbeit zusam- 
mengefasst wurden und nun Tabelle 5.5 zu entnehmen sind. Zu beachten ist, 
dass den genannten Studien unterschiedliche Stichprobenumfänge zugrunde 
liegen, sodass die Ergebnisse nicht gleichermaßen aussagekräftig und unter- 
einander nicht uneingeschränkt vergleichbar sind. Aus den Daten geht klar 


Fehlerursache [109] [92] [128] [127] Gesamt 

Ausfall Regler 30% 19% 17% 17% 21.01% 
Ausfall Gleichrichterdioden 11% 2% 30% 28% 17.97% 
Kurzschluss der Statorwicklung | 30% 20% 17% 16.96% 
Fehler Kohle-Schleifring-System | 7% 11% 18% 14% 12.66% 
Andere Fehler 39% 6% 11.39% 
Lagerschäden 7% 13% 10% 10% 10.13% 
Herstellerfehler 15% 5% 5.06% 
Offene Wicklung 5% 8% 3.3% 
Riemenscheibe 6% 1.52% 


Tabelle 5.5: Fehlerverteilungen aus den Arbeiten [109], [92], [128] und [127] 


hervor, dass es sich bei der am häufigsten fehlerhaft werdenden Komponen- 
te um den Regler handelt. Die Fehlerart „Ausfall Regler“ umfasst dabei die 
Ansteuerung der Erregerwicklung, die Logik und die Kommunikation. Wird 
eines dieser Teilsysteme fehlerhaft, fällt der gesamte Regler aus. Im Mittel 
fallen ca. 21 Prozent der Generatoren aufgrund eines fehlerhaften Reglers aus. 
Mit ähnlicher Häufigkeit wird die Gleichrichtung des Generators fehlerhaft. 
Über die Fehlerhäufigkeit und die Fehlerverteilung von Generatoren mit aktiver 
Gleichrichtung kann im Rahmen dieser Arbeit aufgrund noch nicht vorhan- 
dener Fehlerdaten von Generatoren mit aktiver Gleichrichtung aus dem Feld 
keine Aussage getroffen werden. Bei Fehlern in der Gleichrichtung handelt es 
sich um Fehler der Gleichrichterdioden. Dieser Fehleranteil ist in den Studien 
unterschiedlich hoch. Während in [128] und [127] Ausfallhäufigkeiten von ca. 
30 Prozent genannt werden, wurden in [92] lediglich 2 % der Generatoren mit 
fehlerhafter Gleichrichtung gefunden. Die Gründe für diesen Unterschied wer- 
den in [92] nicht erläutert, es werden jedoch andere, nicht weiter spezifizierte 
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Fehler mit 39 Prozent angegeben. Hier liegt die Vermutung nahe, dass Fehler 
der Gleichrichtung unberücksichtigt geblieben sind. 

Mit einer geringfügig geringeren Häufigkeit von ca. 17 Prozent treten Kurz- 
schlüsse in der Statorwicklung auf. Hierbei muss zwischen zwei Arten von 
Kurzschlüssen unterschieden werden: solchen zwischen den Wicklungen und 
solchen zwischen der Wicklung und dem Gehäuse. Die Auswirkungen eines 
Gehäusekurzschlusses sind aufgrund der direkten Verbindung des Gehäuses 
mit dem Massepotential bzw. der infolgedessen auftretenden hohen Fehler- 
ströme kritisch. Kurzschlüsse zwischen den Wicklungen sind mit geringem 
Kurzschlusswiderstand kritisch, da hierbei die einzelnen Phasenspannungen 
deutlich abnehmen, wodurch die Versorgung nicht mehr gewährleistet werden 
kann. 

Eine weitere und mit ca. 13 Prozent relativ häufig auftretende Fehlerursache 
ist der Ausfall des Kohle-Schleifring-Systems (KSS)s. Mögliche Ursachen für 
diesen Fehler sind abgelaufene oder verklemmte Bürsten oder eine beschädigte 
Federaufhängung. Fehler dieser Art können zum Großteil auf Verunreinigun- 
gen und damit auf die Zerstörung der Bürsten zurückgeführt werden. 

Die Kugellager der Generatorwelle fallen mit einer Häufigkeit von ca. 10 Pro- 
zent aus. Ursache hierfür ist ein beschädigtes Lager, durch das die Genera- 
torwelle entweder gebremst oder ganz an der Rotation gehindert wird. Da 
der Generator infolgedessen an einem ineffizienteren Arbeitspunkt betrieben 
wird, sind weitere Folgeschädigungen möglich. Wenn das Bremsmoment des 
Lagers das übertragbare Drehmoment des Riemensystems übersteigt, nimmt 
die Ausgangsleistung des Generators und somit dessen Ausgangsspannung ab. 
Bei einem Ausfall des Lagers kann kein Drehmoment mehr auf die Läufer- 
welle aufgebracht werden, sodass der Generator keine Ausgangsleistung mehr 
bereitstellt und somit offen ausgefallen ist. 

Beim Ausfall einer Statorwicklung nimmt die Höhe der Spannung und der 
Ausgangsleistung um den Faktor V3 ab. In diesem Szenario kann der Ge- 
nerator die Spannungslage in der elektrischen Energieversorgung nicht mehr 
wesentlich beeinflussen und die elektrische Energieversorgung fällt in Abhän- 
gigkeit von der Batterie aus. 

Weitere Fehlerursachen wie bspw. ein Ausfall des Generators durch eine defek- 
te Riemenscheibe konnten nur in [92] festgestellt werden. Ein möglicher Grund 
für die niedrige Ausfallhäufigkeit aufgrund eines Fehlers im Riemensystem 
besteht in der Einführung von Decoupler-Riemenscheiben, durch welche die 
Belastungen des Riemensystems deutlich reduziert werden konnten. 
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Fehlerbaum 


Basierend auf den im vorigen Unterabschnitt erarbeiteten Erkenntnissen soll in 
diesem Unterabschnitt ein Fehlerbaum fiir Klauenpolgeneratoren erstellt wer- 
den. Zu diesem Zweck miissen auf der Grundlage der betrachteten Fehler und 
ihrer Häufigkeiten die Ausfallraten für die jeweiligen Komponenten berechnet 
werden. 

Jeder der im vorigen Unterabschnitt beschriebenen Fehler führt entweder zur 
Leistungsreduktion, zum offenen oder direkt zum kurzgeschlossenen Ausfall 
des Generators. Um zu beurteilen, welche Fehler mit welcher Häufigkeit auftre- 
ten und welche Auswirkungen sie haben, werden die Wirkmechanismen bzw. 
Fehler im Folgenden auf der Grundlage der Arbeiten [128] und [127] analy- 
siert. In Abbildung 5.28 sind die einzelnen Teilsysteme und Einflussgrößen 
sowie deren Abhängigkeiten voneinander dargestellt. Ausfälle des Generators, 
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Abbildung 5.28: Modell der Wirkmechanismen und Fehlereinflüsse des hier untersuchten Gene- 
ratortyps, in Anlehnung an [128] 


die durch Fehler der VKM bedingt sind, werden im Folgenden bei der Berech- 
nung der Zuverlässigkeit nicht berücksichtigt, da eine gesamthafte Betrachtung 
der VKM, deren Aggregate und deren Zuverlässigkeit den Rahmen der vor- 
liegenden Arbeit sprengen würde. Die Systemgrenze liegt beim Riementrieb, 
welcher in seiner Funktion die Motordrehzahl nj und das Motormoment M 
auf die Läuferwelle überträgt. 

Zu einem offenen Ausfall des Generators kommt es u. a. dann, wenn die Ge- 
neratordrehzahl ng bzw. das Moment Mg nicht mehr aufgebracht und somit 
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keine Ausgangsleistung mehr bereitgestellt werden kann. Mögliche Ursachen 
hierfür sind 


e; eine zu geringe Riemenspannung, 

e2 ein defekter Antriebsriemen, 

e3 ein defekter Freilauf der Riemenscheibe und 
e4 ein Lagerschaden. 


Eine weitere mögliche Ursache für einen offenen Ausfall des Generators ist 
ein Ausfall der Erregerwicklung. Diese fällt entweder durch einen Fehler in 
der Spule selbst oder durch einen Ausfall der Teilsysteme Riementrieb und 
KSS aus. Ohne Drehzahl ng, Drehmoment Mg und Erregerstrom ig kann kein 
Magnetfeld aufgebaut werden. Die Folge ist ein offener Ausfall des Generators. 
Dieser tritt auch dann ein, 


es wenn die Erregerwicklung offen bzw. 
ee kurzgeschlossen ausgefallen ist oder 
e7 wenn die Schleifringe oxidiert sind. 


Treten Fehler in einer der Statorwicklungen auf, ist für die Riickwirkung auf die 
elektrische Energieversorgung entscheidend, ob die jeweilige Statorwicklung 


eg kurzgeschlossen oder 
e9 unterbrochen (offen) 


ausgefallen ist. In letzterem Fall kann der Generator weiter Strom in die elek- 
trische Energieversorgung einspeisen, allerdings mit reduzierter Ausgangsleis- 
tung. Fällt eine weitere Statorwicklung aus, ist der Generator offen ausgefallen. 
Bezüglich der Fehlerart „Kurzschluss einer Statorwicklung“ ist zu unterschei- 
den, ob der Kurzschluss durch Kontakt mit dem Gehäuse (Masse), mit der 
Statorwicklung selbst oder mit einer weiteren Statorwicklung zustande kommt. 
Der Gehäusekurzschluss ist aufgrund der guten elektrischen Anbindung be- 
sonders kritisch und führt zum direkten Ausfall des Generators. Zusätzlich 
hat dieser Fehler auch insofern Auswirkungen auf die elektrische Energiever- 
sorgung, als der Fehlerstrom zu einem unzulässig hohen Spannungseinbruch 
führt. Fehlerströme fließen auch dann, wenn zwei Windungen zueinander kurz- 
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geschlossen sind; sie fließen dann allerdings innerhalb der Maschine, sodass 
der Generator in diesem Fall (wie beim offenen Ausfall der Statorwicklung) 
als offen ausgefallen zu betrachten ist. 

Die gleiche Kritikalität besitzen Fehler in der Gleichrichtung. Hierbei kann 
entweder die Gleichrichterdiode fehlerhaft werden oder der Anschluss zur 
elektrischen Energieversorgung ausfallen. Die ursächlichen Fehler sind dabei 


eıo eine offene bzw. 
ei, eine durch Kurzschluss ausgefallene Gleichrichterdiode oder 
eı2 eine beschädigte Verbindung zur elektrischen Energieversorgung. 


Die Fehlerauswirkungen einer offenen Diode sind mit denen einer unterbro- 
chenen Statorwicklung vergleichbar. Auch hier wird die Ausgangsleistung um 
den Faktor V3 reduziert und die elektrische Energieversorgung kann nicht hin- 
reichend mit Strom versorgt werden. Eine kurzgeschlossene Diode hingegen 
führt zu großen Fehlerströmen innerhalb des Generators und somit direkt zu 
dessen Ausfall. 

Zu einem offenen Ausfall des Generators kann es auch in Zusammenhang 
mit der Regelung des Erregerstroms kommen. Diese erfolgt durch Messung 
der Batteriespannung mittels ASIC oder Mikrocontroller. Hierbei wird davon 
ausgegangen, dass bei 


eı3 einem defekten Integrated Circuit (IC) oder einer fehlerhaften Leistungs- 
stufe 


kein Erregerstrom eingeprägt werden kann. Der Erregerstrom wird auch unter- 
brochen, wenn 


e14 die Bürsten ausfallen. 


Beide Fehler, eı3 und e14, führen zum offenen Ausfall des Generators, was 
bedeutet, dass von diesem keine Ausgangsleistung mehr bereitgestellt werden 
kann. 

Für die folgende Berechnung der Ausfallraten des Generators werden die Feh- 
ler e4 bis eıa berücksichtigt. Die Fehler e; bis e3 des Riementriebs und der 
Riemenscheibe werden hingegen nicht mit in die Untersuchung einbezogen, 
da die in dieser Arbeit durchgeführte Zuverlässigkeitsbewertung auf die Kom- 
ponenten der elektrischen Energieversorgung fokussiert. 

Auf der Basis der bisher diskutierten Fehler und deren Auswirkungen lässt sich 
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der in Abbildung 5.29 dargestellte Teilfehlerbaum erstellen. Hierbei werden die 
Oder-Verknüpfungen der Hauptereignisse in die jeweiligen Fehlerbäume der 
elektrischen Energieversorgung integriert. Die Wahrscheinlichkeit für das Auf- 


Leistungsreduktion um V3 Leistungsreduktion um 2V3 Keine Ausgangsleistung Keine Ausgangsleistung 
offener Ausfall offener Ausfall offener Ausfall kurzg. Ausfall 


7 
IQ VA 9 & 
TN 


nicht beriicksichtigt Lagerschaden Erregerwicklung Biirsten und Statorwicklung Diodenfehler Fehler der Reglerfehler 
offen kurzg. Schleifring Fehler offen kurzg. offen kurzg. Verbindung 


Abbildung 5.29: Teilfehlerbaum für Generatoren mit Diodengleichrichtung 


treten eines Fehlerereignisses wird auf der Basis der Exponentialverteilung mit 
konstanten Ausfallraten berechnet. Jeder Fehler ist dabei ein Basisereignis im 
Fehlerbaum, welches entweder über eine weitere Verknüpfung oder direkt zu 
einer der Top-Verknüpfungen führt. Die Fehler e4, eg, e9, eıo und e1; sind 
hierbei als einzelne Elemente dargestellt, werden für den Fehlerbaum jedoch 
in deren jeweiliger Häufigkeit berücksichtigt. Die Hochzahl repräsentiert dabei 
die Anzahl der Komponenten und somit der Basisereignisse. Berücksichtigt 
werden zwei Kugellager unterschiedlicher Geometrie, drei Statorwicklungen 
und sechs Gleichrichterdioden. Die einzelnen Ausfallraten werden anhand der 
im folgenden Unterabschnitt beschriebenen Modelle und in Abhängigkeit von 
den auftretenden Verlustleistungen und der Temperaturerhöhung während ei- 
nes Fahrzyklus berechnet. Der Teilfehlerbaum erhält als Basisereignis den 
Mittelwert der berechneten Verteilungen für die Ausfallraten. 
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Berechnung der Ausfallrate 


Die Ausfallrate des Generators ergibt sich aus einer Kombination der konstan- 
ten und der modellbasierten Ausfallraten. Die Grundlage fiir die Berechnung 
der Ausfallraten fiir die mechanischen Komponenten des Generators bilden 
das Handbuch NSWC-11 [111] bzw. die darin vorgestellten Modelle. Die 
Ausfallraten für die elektronischen Komponenten, Dioden bzw. Mosfets der 
Gleichrichtung und Regler (ASIC oder Mikrocontroller) werden auf der Ba- 
sis der Handbücher FIDES [48], HDBK-217Plus [130] und SN29500 [151] 
berechnet. Jedes der genannten Handbücher greift auf die in Unterkapitel 2.5 
vorgestellten Alterungsmodelle zurück. Auf der Basis der in den unterschiedli- 
chen Handbüchern jeweils vorliegenden Felddaten entstehen unterschiedliche 
Parametrierungen und Sensitivitäten gegenüber den Einflussgrößen Tempera- 
tur, Luftfeuchtigkeit, Qualität und elektrischem Stress [62], [73], sodass die 
Ausfallraten für die unterschiedlichen Standards teilweise deutlich voneinander 
abweichen können. Daher wird im Allgemeinen empfohlen, für eine Zuverläs- 
sigkeitsberechnung auf einen Standard zurückzugreifen, um eine Vergleich- 
barkeit der Resultate zu ermöglichen. Da für die Komponente Generator kein 
unabhängiges Ausfallratenhandbuch existiert, wird auf die genannten Hand- 
bücher zurückgegriffen. Die Ausfallraten der Basisereignisse werden mit den 
aus den genannten Handbüchern berechneten Ausfallraten und den Fehler- 
verteilungen aus Tabelle 5.5 gebildet. Mit dem Handbuch NSWC-11 für die 
Prädiktion der Zuverlässigkeit mechanischer Komponenten werden die Aus- 
fallraten für 


e die Lager sowie für 
e die Stator- und 


e die Läuferwicklung berechnet. 


Für KSS-Fehler stehen konstante Ausfallraten aus Grundlagenuntersuchungen 
zur Verfügung, wobei die Ausfallraten für 


e Bürsten- und 


e Gehäusefehler 
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als konstant angenommen werden. Für die Bestimmung der Ausfallrate für 
Gehäusefehler wurde zur Vereinfachung der Ausfall der Verbindung zur elek- 
trischen Energieversorgung mit eingeschlossen, wobei angenommen wurde, 
dass der Ausfall des Gehäuses den Verlust der Verbindungsstelle bedingt. Die 
Ausfallraten der Komponenten 


e Diode, 
e Mosfet und 


e Regler 


werden auf der Grundlage der Handbücher FIDES [48], HDBK-217Plus [130] 
und SN29500 [151] berechnet. 

Die Ausfallrate für den Generator im Ganzen, Ag, lässt sich auf der Basis 
von [111] angeben zu 


AG = (AG, : Csr) + Awr +As +Ast +Age +AD +AR. (5.29) 


Die einzelnen Bestandteile der Gleichung sind die Basisfehlerrate* Ac,s (DC 
2,17 bis AC 10) und der Lastfaktor Cs r (wobei der Wert 1.0 einer geringen 
und der Wert 3.0 einer hohen Last entspricht). 

Fiir die einzelnen Komponenten werden spezifische Ausfallratenmodelle an- 
gewendet. Die Berechnung der Ausfallrate einer Wicklung Aw, basiert auf der 
Annahme, dass durch die Temperaturerhöhung Alterungsmechanismen einset- 
zen und somit die Ausfallwahrscheinlichkeit zunimmt. Die Ausfallrate einer 
Wicklung berechnet sich — unabhängig davon, ob es sich um eine Stator- oder 
um eine Läuferwicklung handelt — zu 


Awr = Awr,B + Cr: Cv: Carr. (5.30) 


Die Ausfallrate der Wicklung Aw ;,g hängt von den Faktoren für die Tem- 
peratur Cr, die Spannungsschwankungen Cy und die Einsatzhöhe Caz des 
Generators ab. Für die Temperaturabhängigkeit Cr sind die Wicklungen in 
die vier Klassen A, B, F und H eingeteilt. Jede dieser Klassen repräsentiert 


4 Die Fehlerraten sind in NSWC-11 als 10 angegeben und werden daher in 19” (FIT) umge- 


rechnet. 
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verschiedene Stufen der Temperaturbeständigkeit der Wicklung und damit den 
zulässigen Temperaturhub 7x. Damit berechnet sich Cr zu 


(To -40) 


Cr=2 D , (5.31) 


Hierbei besteht der Faktor 7, = Tw +Ty -Tx aus den Temperaturen der Wick- 
lung Tw, der Umgebung Ty und dem maximal zulässigen Temperaturhub Tx. 
Der Faktor für die Spannungsabhängigkeit Cy berechnet sich für dreiphasige 
Maschinen zu 


Cy =1+ (0,4: Vu)”, (5.32) 


wobei Vy ein prozentualer Faktor aus dem Verhältnis von auftretender zu 
durchschnittlicher Spannung an den Wicklungen ist. 

Bei einem Betrieb von Klauenpolgeneratoren in Höhen von über 1000 Meter 
Normalnull (NN) muss aufgrund der geringeren Luftdichte und der dadurch 
bedingten geringeren Kühlleistung eine zusätzliche Belastung berücksichtigt 
werden. Das Verhältnis von schlechterer Kühlleistung zu geringerer Umge- 
bungstemperatur wird über den Faktor Car berücksichtigt und ist über die 
Einsatzhöhe Apg definiert zu 


Cait = 1 +8- 10° - (hg — 1000m) . (5.33) 


Die Ausfallrate Ags des KSS bzw. der Bürsten ist wie die Ausfallrate Asr des 
Gehäuses konstant. 
Für die Kugellager des Generators berechnet sich die Ausfallrate Age zu 


ABE = ABE,B'Cy Cr: Cy: Cow: CG: Csr + Cc. (5.34) 


Hierbei sind Age,» die Basisfehlerrate und Cy, Cr, Cy, Cw, Cr, Csr sowie 
Cc Belastungs- bzw. Materialfaktoren. 

Die Berechnung der Ausfallraten fiir die Gleichrichtung, fiir die Dioden und 
Mosfets sowie fiir den Regler beruht auf den entsprechenden Modellen, die 
sich in den Handbiichern FIDES, HDBK-217Plus und SN29500 finden. Im 
Hinblick auf die grundlegenden Gleichungen und Modellansatze fiir die Be- 
rechnung der Ausfallraten der Komponenten Diode, Mosfet und Regler gibt 
es keine Unterschiede zwischen den genannten Handbiichern. Beziiglich der 
Modellierung unterscheiden sich die Handbiicher jedoch durch verschiedene 
Ansätze zur Berechnung der Ausfallraten sowie durch Bezugnahme auf ver- 
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schiedene Datengrundlagen voneinander. 
Die Grundgleichung nach FIDES ist 


Ap,M,R = APH ` lpm TPR. (5.35) 


Die Parameter Ipm und Ilpr sind konstante Faktoren, welche die Quali- 
tät und den Herstellungsprozess abbilden. Die physikalische Ausfallrate Apyr 
des jeweils zu untersuchenden Bauelements berechnet sich auf der Grundlage 
weiterer Belastungsfaktoren. Hierbei werden als Einflussgrößen Modelle für 
die Temperatur (TH), die Zyklisierung (TCY), die Alterung der Lötverbin- 
dung (SJ), die Luftfeuchtigkeit (RH) und die Beschleunigung (ME) berück- 
sichtigt. Die physikalische Ausfallrate 4 py ist damit definiert zu 


Ara Urn 
n +Arcy : IIrcr 
ApH = > kz,i+|+Asy : Isy Thr. (5.36) 
4 +ArHu ` IRH 
+Ame ` IME 


Dabei steht n für die Anzahl der Einsatzphasen. kz ist der Faktor für die Ein- 
satzdauer und Izy der Faktor für zusätzliche Stressbelastungen. 

Ähnlich wie FIDES berücksichtigt das Handbuch HDBK-217Plus physika- 
lische Modelle und durch den Herstellungsprozess bedingte Faktoren. Die 
Ausfallrate berechnet sich mit 


AOB ` ADCO ' TTO ` TS 
ÅD,M,R = TG ` | +EB ` ADCN ‘TATE +AsJB'NSIDT +n. (5.37) 
+ArcB CR‘ DT 


Hierbei sind die gegebenen Basisfehlerraten Ao z fiir den Betrieb, Az fiir die 
Umgebung, Arcz für die thermische Zyklisierung und A573, für die Lotstellen. 
Die Ausfallrate bestimmt sich über die jeweiligen Basisfehlerraten sowie über 
die modellbasierten Faktoren für die Zyklisierung 7pco, DCN, TCR, für die 
Temperatur nro, Tre, npr und die Lötstellen as,pr. Die zusätzliche Aus- 
fallrate mzy stellt einen konstanten Korrekturfaktor dar. Des Weiteren werden 
mit rg die kalendarische Veränderung der Zuverlässigkeit und mit rs die von 
der Spannung abhängige Stressbelastung abgebildet. 
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Das Handbuch SN29500 berücksichtigt bei der Berechnung der Ausfallraten 
deutlich weniger Einflussgrößen als die zuvor besprochenen Handbücher. Die 
Ausfallrate der Diode berechnet sich hier für die Diode und den Regler mit 


AD,R = Aref GIER: (5.38) 


Hierbei sind A,.r die Basisausfallrate der jeweiligen Komponente und ar 
der Faktor für die Temperaturabhängigkeit. Für die aktive Gleichrichtung mit 
Mosfets als Leistungsschaltern berechnet sich die Ausfallrate für einen Mosfet 
mit 


AM = Aref AT ` Tu. (5.39) 


Mit dem Faktor zy wird die Spannungsabhängigkeit der Ausfallrate des Mos- 
fets skaliert. 

Auf der Basis der in diesem Unterkapitel vorgestellten Modelle bzw. Gleichun- 
gen können die Ausfallraten in Abhängigkeit von realen Belastungsszenarien 
berechnet werden. Hierzu erfolgt eine zyklische Berechnung der Verlustleis- 
tung, der Temperatur und der Ausfallrate in dem jeweiligen Arbeitspunkt der 
Eingangsdaten. Die Berechnung der Ausfallwahrscheinlichkeiten erfolgt dabei 
mittels Exponentialverteilung, weshalb über alle Zyklen hinweg der Mittel- 
wert der berechneten Ausfallraten für die Komponenten des Generators genutzt 
wird. Die Ausfallrate der Basisereignisse berechnet sich unter Hinzunahme der 
Fehlerverteilungen aus Tabelle 5.5. 
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5.4 Modell des Gleichspannungswandlers 


Die Einführung neuer Spannungsebenen macht die Integration von Gleich- 
spannungswandlern (GSW) in die Architektur der elektrischen Energieversor- 
gung erforderlich. Die Hauptfunktion eines GSWs besteht darin, eine stabile 
Spannungslage in der elektrischen Energieversorgung sicherzustellen. Hier- 
bei sind vor allem zwei Eigenschaften von GSWs von Vorteil: ihr schnel- 
les Regelverhalten sowie die kurzzeitige Überlastfähigkeit. GSWs speisen die 
12V-Spannungsebene entweder aus der 48V-Spannungsebene oder aus einem 
Hochspannungssystem mit 400 bzw. 800 Volt. Je nach Bauart und eingebauten 
Reserven können GSWs Spannungseinbrüche auf der 12V-Ebene deutlich bes- 
ser ausregeln als Generatoren. In Abhängigkeit vom Ausstattungs- bzw. Ver- 
braucherumfang sowie von den Umgebungsbedingungen ergeben sich mehr 
oder weniger hohe Leistungsanforderungen an den GSW. Der genaue Wert 
hängt dabei im Wesentlichen von den mittleren Leistungen der zu versorgen- 
den Verbraucher ab. 

Um die Versorgung sicherheitsrelevanter Verbraucher zu gewährleisten, müs- 
sen GSWs nicht nur eine hinreichend hohe Leistungsfähigkeit, sondern auch 
eine hinreichend hohe Zuverlässigkeit aufweisen. Im Folgenden soll daher 
ein Modell entwickelt werden, anhand dessen sich die Zuverlässigkeit von 
GSWs für die 12V/48V-Ebene bestimmen lässt. Zunächst werden die in GSWs 
grundsätzlich verbauten Technologien sowie die primären Funktionen eines 
mehrphasigen GSW vorgestellt. Im nächsten Schritt wird mit der Modell- 
bildung für einen bidirektionalen 12V/48V-GSW begonnen, wobei die dafür 
notwendigen Annahmen und Gleichungen erläutert werden. Auf dieser Basis 
werden anschließend verschiedene Modelle zur Berechnung der Ausfallra- 
ten der Komponenten bzw. eines GSW im Gesamten vorgestellt. Aufgrund der 
Komplexität von GSWs, die zum einen aus deren Architektur und zum anderen 
aus den an ihre Leistungsfähigkeit gestellten Anforderungen resultiert, wird für 
die quantitative Bewertung der Zuverlässigkeit ein Teilfehlerbaum eingeführt. 
Das Unterkapitel schließt mit der Diskussion der gewonnenen Erkenntnisse. 


5.4.1 Technologie 


Es gibt verschiedene Bauformen von GSWs (eine gute Übersicht findet sich 
in [80]). In Bezug auf Kraftfahrzeuge mit VKM haben sich für die Wandlung 
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von 12 auf 48 Volt je nach geforderter Ausgangsleistung ein- bzw. mehrphasi- 
ge Wandlersysteme durchgesetzt. In mehrphasigen GSWs kommen entweder 
mehrere voneinander unabhängige oder mehrere miteinander gekoppelte Pha- 
sen zum Einsatz, wobei das Koppeln der Phasen eine signifikante Steigerung 
der Effizienz ermöglicht. Bei der Wandlung von 12 auf 400 Volt bzw. von 12 
auf 800 Volt sind spezielle Maßnahmen erforderlich, um eine sichere Tren- 
nung der Spannungsebenen voneinander zu gewährleisten. Bei hoher Differenz 
der beiden Eingangsspannungen werden Halb- und Vollbrückenwandler ein- 
gesetzt [174]. Für den Einsatz in elektrisch angetriebenen Fahrzeugen sind 
neben den soeben umrissenen Bauarten auch GSW-Architekturen entstanden, 
welche direkt über den Inverter der E-Maschine betrieben werden [150]. 

Trotz dieser Unterschiede sind alle GSWs ihrem Aufbau nach grundsätzlich 
miteinander vergleichbar. In Abbildung 5.30 ist in Anlehnung an [80] das 
Blockschaltbild eines GSWs mit den wesentlichen Teilsystemen Leistungs- 
stufe und Logik dargestellt. Die Leistungsstufe besteht aus den Komponen- 


/ GSW 
Z Leistungsstufe 


Leistungsfilter 


Filter HV 


Leistungsschalter 


LV < >| Filter } 
I 
ln 


>| Messung Treiber 
Mikrocontroller } 


Hilfs-Versorgung ( Kommunikation ) 


Energieversorgung 12V z.B. CAN 


Transformator 


Gleichrichtung 


Abbildung 5.30: Blockdiagramm eines Gleichspannungswandlers mit den Teilsystemen Leis- 
tungsstufe und Logik, in Anlehnung an [80] 


ten Eingangsfilter, Leistungsschalter, Leistungsfilter und Ausgangsfilter. Bei 
Wandlern mit Hochvolt-Spannungen von 400 bzw. 800 Volt werden Halb- und 
Vollbrücken eingesetzt. Mit diesen wird die Eingangsspannung auf der einen 
Seite des Transformators getaktet und auf der anderen Seite gleichgerichtet. 
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So lässt sich auf beiden Seiten des Transformators eine Bidirektionalität errei- 
chen. 

Das zweite Teilsystem, die Logik, dient zur Regelung des GSWs. Hierzu 
werden die Ein- und Ausgangsspannungen sowie die Ströme in den Leis- 
tungsfiltern gemessen; darüber hinaus werden über einen diskreten Schaltkreis 
bzw. mittels eines Mikrocontrollers die Höhe der Ausgangsspannung und der 
Ausgangsleistung geregelt. Die Anpassung der Ausgangsleistung des GSWs 
erfolgt über die Leistungsschalter, welche mittels Treiberstufe und einer Schalt- 
frequenz fs zyklisch geschaltet werden. Die elektrische Energieversorgung für 
das Teilsystem Logik wird entweder extern oder über einen internen Abgriff 
auf der 12V-Spannungsebene realisiert. 

Während des Fahrbetriebs werden über die jeweils verbaute Kommunikations- 
schnittstelle, z. B. Controller Area Network (CAN), Messdaten und Sollgrößen 
zwischen GSW und Fahrzeug bzw. Energiemanagement ausgetauscht. Dies ist 
wichtig, da übergeordnete Systeme wie das Energiemanagement Informatio- 
nen darüber erhalten müssen, ob das System belastbar ist und ob ggf. degradiert 
werden muss. Ist bspw. der GSW aufgrund von hohen Umgebungstemperaturen 
und einem ungünstigen Betriebspunkt im Derating, muss das Energiemanage- 
ment diesen Zustand erkennen und entsprechend reagieren. Hierfür meldet der 
GSW seinen Zustand, woraufhin das Energiemanagement eine Reduktion der 
Leistungs- bzw. Stromaufnahme von bestimmten Verbrauchern vorgibt (bspw. 
Sitzheizung auf 50 Prozent, Frontscheibenheizung auf 25 Prozent usw.) oder 
diese ganz abschaltet. 

In Abbildung 5.31 ist die Basisarchitektur eines mehrphasigen 12V/48V- 
GSWs mit gekoppelter Leistungsinduktivität dargestellt. Der hier dargestellte 
Schaltplan repräsentiert Architekturen mit und ohne gekoppelte Leistungsfilter. 
Durch die Kopplung und eine gezielte Schaltstrategie wird die Amplitude des 
magnetischen Flusses im Leistungsfilter deutlich reduziert. Dadurch werden 
die im Leistungsfilter entstehenden Verluste minimiert und der Wirkungs- 
grad des GSWs wird gesteigert [154], [164], [165]. Für kleine Leistungen 
(< 500 Watt) kann die Kopplung der 48V- mit der 12V-Spannungsebene mit 
einphasigen GSWs umgesetzt werden. Aufgrund der deutlich höheren Durch- 
schnittsleistungen in der elektrischen Energieversorgung von Kraftfahrzeugen 
(2 bis 5 kW) werden dort hingegen mehrphasige GSW eingesetzt. Grundsätz- 
lich ist der Verbau mehrerer Einphasenwandler möglich, kosteneffizienter ist 
allerdings der Verbau eines Mehrphasenwandlers. 

In einphasigen GSWs wird der Ausgangsstrom durch Variation des Tastver- 
hältnisses zwischen Ein- und Ausschaltdauer der Leistungsschalter geregelt. 
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Abbildung 5.31: Vereinfachter Schaltplan eines 12V/48V-Gleichspannungswandlers mit mehreren 
Phasen und gekoppelter Leistungsinduktivität 


Hierbei kommen als Leistungsschalter ausschließlich Mosfets zum Einsatz, 
und zwar aufgrund ihrer guten Leitwerte und Schaltgeschwindigkeiten. 

Auch in mehrphasigen GSWs ohne und mit gekoppelten Leistungsfiltern er- 
folgt die Regelung der Höhe und Richtung des Ausgangsstrom durch Variation 
des Tastverhältnisses von High-Side- und Low-Side-Leistungsschaltern (im 
Folgenden kurz HS- und LS-Leistungsschalter). Zur weiteren Reduktion der 
Ausgangswelligkeit können zusätzlich die Phasen der Ansteuersignale gegen- 
einander verschoben werden. Die maximale Reduktion der Stromwelligkeit 
wird dabei erreicht, wenn das Ansteuersignal der jeweiligen Leistungsstufe k 
um (k - 1) - T/n verschoben wird, wobei n die Anzahl der Leistungsstufen 
ist. In Abbildung 5.32 (a) sind die Stromwelligkeiten und in (b) die Ansteu- 
ersignale für einen GSW mit n = 3 dargestellt. Wie in (a) zu erkennen ist, 
wird die Stromwelligkeit von GSWs mit nicht gekoppeltem Leistungsfilter um 
den Faktor 1/n reduziert. Zum Vergleich ist zusätzlich die Welligkeit eines 
gekoppelten Leistungsfilters mit nc = 3 dargestellt. Wie man sieht, kann die 
Stromwelligkeit durch die Kopplung des Leistungsfilters auf weniger als die 
Hälfte reduziert werden. Aufgrund dieses technologischen Vorteils werden im 
Folgenden GSWs mit gekoppeltem Leistungsfilter näher betrachtet. 

In Abbildung 5.32 (b) sind mit Pı die Ansteuersignale der ersten, mit P2 die 
der zweiten und mit P3 die der dritten Phase dargestellt. Das Tastverhältnis d 


189 


Belastungs- und Zuverlässigkeitsmodelle 


100 
f 80} | 
Š 
= 60b 4 
3 
on 
= 40 + - 
g 20 T i 
: \ 
` 1 
| | N 


0 t | 
O 0,2 0,4 0,6 0,8 1 


aN 
A 
X 
a 
a 


Tastverhältnis d/%o —» 
(a) (b) 


Abbildung 5.32: (a) Stromwelligkeit eines Mehrphasen-Gleichspannungswandlers mit n = 1, 2, 3 
Phasen ungekoppelt und mit nc = 3 Phasen gekoppelt (M/Ls = 5%). (b) 
Gegeneinander phasenverschobene Ansteuersignale der einzelnen Phasen eines 
12V/48V-Gleichspannungswandlers mit n = 3 nach [108] 


und die Schaltfrequenz fs bestimmen die Länge der Ein- und Ausschaltdauer 
(d - 1/ fs) der Leistungsschalter einer Phase. 


5.4.2 Modellbildung für einen bidirektionalen 12V/48V-GSW 


Zur Erstellung einer Zuverlässigkeitsvorhersage fiir einen bidirektionalen 
12V/48V-GSW ist die genaue Kenntnis der Lastbedingungen der ihn kon- 
stituierenden Komponenten entscheidend. Daher werden in diesem Abschnitt 
zunächst die essentiellen Grundgleichungen für den hier betrachteten Typ von 
GSW vorgestellt. Basierend auf den Grundgleichungen können die Gleichun- 
gen für die einzelnen Verlustleistungen der Komponenten des GSWs angegeben 
werden. 

Während des Fahrbetriebs können GSWs mit hohen Leistungen und damit 
auch mit hohen Temperaturschwankungen belastet werden. Beides kann zu 
einer beschleunigten Alterung der einzelnen Komponenten und somit zu einer 
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höheren Fehlerwahrscheinlichkeit führen. Zur Berechnung der Ausfallraten 
der einzelnen Komponenten bzw. des GSWs im Gesamten müssen die Ströme 
und Belastungen bekannt sein, denen die wesentlichen Komponenten ausge- 
setzt sind. Durch eine Erweiterung der mathematischen Beschreibungen der 
in Abbildung 5.31 dargestellten Leistungsschalter und Leistungsfilter um de- 
ren Widerstandsanteile berechnet sich die Spannung über dem Leistungsfilter, 
während Sı geschlossen ist, zu 


ur zı(t) = u(t) — u2(t) — Us, (t) —- urr (t). (5.40) 


Im zweiten Zustand ist S$; geöffnet und S2 geschlossen, sodass die Spannung 
definiert ist zu 


up,z2(t) = —u2(t) — us, (t) - vrL (t). (5.41) 
Für den durch den Leistungsfilter fließenden Strom iz gilt 


diL(t) 
dt ` 


un(t)=L (5.42) 
Unter der Annahme, dass sich die mittlere Spannung über dem Leistungsfil- 
ter uz (t) aus Gleichung 5.40 und Gleichung 5.41 bilden lässt, ist uz definiert 
zu 


UL =ULZI +UL,22. (5.43) 


Bei geschlossenem HS-Leistungsschalter $; hängt die mittlere Spannung uz 
von der Einschaltzeit und bei geschlossenem LS-Leistungsschalter S2 von der 
Ausschaltzeit ab. Daher berechnet sich uz mit dem Tastverhältnis d zu 


up =ur,zılt)- d+ur,za(lt) (1-d). (5.44) 


Der durch den Leistungsfilter fließende Strom iz kann dementsprechend mit 
der folgenden Gleichung 5.44 berechnet werden: 
dii u vid—v2—Rs,iid - Rs,ii(1 — d) — Rriı 


dt L 


(5.45) 


Der Ausgangsstrom eines mehrphasigen, nicht gekoppelten GSWs berechnet 
sich über die Summe aller Einzelströme. Der Gesamtstrom i, (t) eines GSWs 
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mitn Phasen berechnet sich dementsprechend unter Anwendung von Gleichung 
5.45 zu 


n 


ia(t) = 2o =i (t) +i(t) +--+ +in(t). (5.46) 


p=! 


Werden gekoppelte Leistungsfilter eingesetzt, beeinflussen sich die Phasen- 
ströme ij bis i, gegenseitig. Zur Berechnung der Phasenströme und des Ge- 
samtstroms fiir diesen Fall muss das magnetische Netzwerk des gekoppelten 
Leistungsfilters analysiert werden. 

Nach [165] kann fiir den Strom eines GSWs mit n Phasen, der Streuindukti- 
vität Z, und der Hauptinduktivität M folgender Zusammenhang angenommen 
werden: 


I, M+L, M abe M Uz 
d h 1 M M+L, ... M Ur2 

“|= “Tl (5,47) 
dt|:| Ls (Ls +nM) ; , ; l 

A M M «+. M&L,| |Urn 


Der Gesamtstrom eines Multiphasen-GSW mit gekoppelten Leistungsfiltern 
ergibt sich über die Summierung aller Einzelströme. Die Summe aller Strö- 
me iy(f) ist dabei definiert zu 


d. "Vd ; 1 
gO = 2 nH L (Vri +Vr2 ++ Vin). (5.48) 


Unter der Annahme, dass die Streuinduktivität L, signifikant kleiner ist als 
die Hauptinduktivität M, Ls << M, gilt für die Berechnung des jeweiligen 
Phasenstroms 


1 
‘Urp. (5.4 
zy Ve 69) 
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5.4.3 Verlustleistung 


Die Zuverlässigkeit von GSWs hängt hauptsächlich von den elektrischen und 
thermischen Belastungen ihrer Komponenten ab. Zur Berechnung der Tempe- 
raturentwicklung innerhalb eines GSWs ist daher die Kenntnis der Verlustleis- 
tungen der beteiligten Komponenten erforderlich, wobei zu beachten ist, dass 
jede Komponente eigene Verlustanteile aufweist, die in unterschiedlicher Weise 
zur Gesamterwärmung beitragen. Zur Ermittlung der Verlustleistung des hier 
untersuchten bidirektionalen 12V/48V-GSW werden folgende Verlustanteile 
näher untersucht: 


e statische Verluste (Logik, Ansteuerung etc.), 
e statische und dynamische Verluste der HS- und LS-Mosfets, 
e statische Verluste serieller Mosfets? sowie 


e statische und dynamische Verluste des Leistungsfilters. 


Auch dann, wenn der GSW nicht aktiv ist, fallen bei der Versorgung des 
Mikrocontrollers, der Logik und der Ansteuerung statische Wandlerverluste 
an. Ein Großteil der Verluste entsteht dabei an den Leistungsschaltern und 
Leistungsfiltern des GSWs. Für die hier angestellten Berechnungen werden 
die statischen Wandlerverluste auf der Basis der benötigten Leistung für die 
Treiberstufe ermittelt und als konstant angenommen. 

Mit Bezug auf den Leistungsschalter setzen sich die Verluste aus statischen und 
dynamischen Anteilen zusammen. Die Verlustleistung berechnet sich dabei mit 
dem aus Gleichung 5.22 bekannten Zusammenhang und ts = fein + taus ZU 


1 ; 
Pv, s(t) = Rps(on) «im (t)? + 5° ups(t)-im(t) ts: fs. (5.50) 
-_~——- -eCe.,__eo" 
statisch dynamisch 


5 Das Sicherheitsziel zur Vermeidung von Uberspannung im 12V-Bordnetz erfordert zur Absiche- 
rung gegen Einfachfehler einen zusätzlichen Schalter zwischen U; bzw. U2 und der Leistungs- 
stufe. Hierbei werden nur die statischen Verlustanteile beriicksichtigt, da die Schalter wahrend 
des aktiven, fehlerfreien Betriebs dauerhaft geschlossen sind. 
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Die in den GSWs von Kraftfahrzeugen verbauten Leistungsschalter werden 
häufig mit Frequenzen zwischen 50 und 150 kHz betrieben. Die hierbei an- 
fallenden Schaltverluste fallen deutlich höher aus als die statischen Verluste, 
und zwar auch deshalb, weil die Leistungsschalter mehrfach parallel geschaltet 
werden, um den Gesamtwiderstand und damit die Verlustleistungen zu redu- 
zieren. 
Die Verluste im Leistungsfilter setzen sich ebenfalls aus statischen und dyna- 
mischen Anteilen zusammen. Der statische Anteil der Verluste kann berechnet 
werden mit 

Pyw = Rin p (5.51) 


Infolge zyklischer Ummagnetisierungen unterliegen alle Leistungsfilter Hys- 
tereseverlusten. Für die Berechnung der Verlustleistung ist daher das Kernma- 
terial des Leistungsfilters entscheidend. Aufgrund der hohen Schaltfrequen- 
zen werden hauptsächlich Kerne aus Ferrit eingesetzt. In der vorliegenden 
Untersuchung erfolgt die Berechnung der Kernverluste auf der Basis von Her- 
stellerangaben sowie anhand der Steinmetzgleichung. Bei nicht sinusförmigem 
Strom bzw. nicht sinusförmiger Erregung berechnen sich die Hystereseverluste 
nach [152] zu 


1 
Pye = 2- Ky: fÉ BE (cnT?-chT+et)-Ve. (5.52 
T 
Dabei sind r die Schaltperiode, Kı, Ka und K3 Verlustkoeffizienten, ct, ctı 
und ct) Temperaturkoeffizienten, T die Kerntemperatur, B die Flussdichte, feg 
die äquivalente Frequenz und V, das Kernvolumen. Für pulsweitengeregelte 
GSWs berechnet sich die äquivalente Frequenz fe, mit der Schaltfrequenz fs 


zu 
1 


feq hra a-d (5.53) 


Anhand der oben hergeleiteten Gleichungen lässt sich der erste Teil des an- 
gestrebten Modells für GSWs erstellen, nämlich jener Teil, der zur Berech- 
nung der Verlustleistungen der einzelnen Komponenten des zu untersuchenden 
GSWs dient. Wie eingangs erläutert, bezieht sich das hier entwickelte Modell 
auf einen vierphasigen GSW zum bidirektionalen Energieaustausch zwischen 
der 12V- und der 48 V-Spannungsebene. Die im Modell berücksichtigten Kom- 
ponenten und Parameter basieren auf einem existierenden vierphasigen GSW 
mit gekoppeltem Leistungsfilter. Der Leistungsteil dieses GSWs ist so aufge- 
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baut, dass zwecks Erhohung der Stromtragfahigkeit mehrere Leistungsschalter 
parallel geschaltet sind. Die auf der Basis dieses GSW-Modells berechneten 
Verlustleistungen sind, zusammen mit Verlustleistungsmessungen aus Ver- 
suchsreihen mit dem vorliegenden GSW, in Abbildung 5.33 dargestellt. Wie 
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Abbildung 5.33: Gesamtverlustleistung des Gleichspannungswandler-Modells sowie Messdaten 
des vierphasigen Gleichspannungswandlers mit gekoppeltem Leistungsfilter 


deutlich zu erkennen ist, fallen die Abweichungen zwischen den Messungen 
und den Berechnungen anhand der Gleichungen 5.50 bis 5.52 gering aus. 
Uber den gesamten Leistungsbereich hinweg liefert das erstellte Modell hin- 
reichend präzise Ergebnisse. Zu beachten ist, dass die Verlustanteile der Ein- 
und Ausgangsfilter bei der Berechnung nicht beriicksichtigt wurden, da diese 
im Vergleich zur Hohe der Verluste der Leistungsschalter und des Leistungs- 
filters zu vernachlassigen sind. 


5.4.4 Temperaturmodell 


Für die Berechnung der Zuverlässigkeit des GSWs ist entscheidend, welchen 
Belastungen die einzelnen Komponenten während des Fahrbetriebs ausge- 
setzt sind. Maßgeblich sind hierbei die Temperaturveränderungen innerhalb 
des GSWs. Zu deren Untersuchung wird im Folgenden ein datenbasiertes 
Temperaturmodell entwickelt, das auf den in Abschnitt 5.3.4 vorgestellten 
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Untersuchungen zu den Wärmetransportmechanismen in Generatoren basiert. 
Auf der Basis des im vorigen Abschnitts vorgestellten Modells für einen bi- 
direktionalen 12V/48V-GSW soll nun ein thermisches Netzwerk entwickelt 
werden, dessen Grundlage die einzelnen Verlustleistungsquellen sowie die 
thermischen Teilmodelle des Leistungsschalters sowie des Transformators bil- 
den [101]. 

Das in Abbildung 5.34 dargestellte thermische Ersatzschaltbild ist den Arbei- 
ten [124] und [152] entnommen. Der linke Teil des thermischen Netzwerks 
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Abbildung 5.34: Thermisches Netzwerk eines 12V/48V-Gleichspannungswandlers 


repräsentiert die Leistungsschalter der jeweiligen Phase sowie die thermischen 
Modelle der seriellen Leistungsschalter zur sicheren Trennung des GSWs von 
der elektrischen Energieversorgung. Unabhängig von der Anzahl der Mos- 
fets wird dabei von einer homogenen Erwärmung ausgegangen. Die seriellen 
Trennschalter, auch als Sicherheitsschalter (SS) bezeichnet, trennen den GSW 
im Fehlerfall von der elektrischen Energieversorgung. Hierzu werden zwi- 
schen dem 12V- bzw. dem 48V-Eingang und den Leistungsschaltern mehrere 
Mosfets parallel geschaltet. Der SS ist nur im Fehlerfall geöffnet und ansonsten 
dauerhaft geschlossen. Bei der Ermittlung der Verlustleistung werden daher 
nur statische Verluste berücksichtigt. 

Die thermischen Teilmodelle aller Leistungsschalter sind prinzipiell identisch. 
Unter der Annahme, dass der hauptsächliche Wärmetransport zwischen der 
Verlustleistungsquelle (Chip) und der Umgebung auf der Wärmeleitung ba- 
siert, lassen sich die wesentlichen Kennzahlen der Wärmewiderstände des 
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Leistungsschalters nachbilden [101]. Ein Teil der Parameter, die hierbei zur 
Berechnung nötig sind, stammen aus Herstellerangaben. Die verbleibenden 
Parameter, die aus dem thermischen Netzwerk abgeleitet werden müssen, sind 
die Parameter für den Kühlkörper und den Leistungsfilter. Der Kühlkörper 
wird über eine Gehäusehälfte des GSWs realisiert. Durch Kühlrippen und 
natürliche Konvektion wird die Verlustleistung an die Umgebung abgeführt. 
Ein Teil der Wärmetransportmechanismen wurde durch analytisches Lösen 
des thermischen Netzwerks und mittels Partikelschwarmoptimierung (PSO) 
ermittelt. Auf der Grundlage der Verlustleistungsgleichungen für das thermi- 
sche Modell berechnet die PSO zyklisch passende Parameter. Der geeignete 
Parameter für den jeweiligen Wärmetransport wird über das Minimieren des 
Fehlers zwischen Messdaten und Modell ermittelt. 

Zur Aufzeichnung von Messdaten wurde ein Exemplar des bereits in Se- 
rie produzierten Typs von GSW während unterschiedlicher Belastungszyklen 
vermessen. In Abbildung 5.35 sind die Thermographieaufnahmen des hier 
untersuchten bidirektionalen GSW bei einer Ausgangsleistung von zwei Kilo- 
watt dargestellt. Der Leistungsfilter und dessen Erwärmung sind deutlich zu 
erkennen. Nach ca. 900 Sekunden haben der Kern eine Temperatur von 70°C 
und die Windung eine Temperatur von 80°C erreicht. 

Im unteren bzw. im linken Bereich der Wärmebildaufnahmen sind die Erwär- 
mungen der Stromschienen und der Filter zu erkennen. Die Stromschienen 
werden eingesetzt, um eine kostengünstige Leiterplatte für hohe Ströme zu 
ertüchtigen. Grundsätzlich werden dadurch die in der Platine auftretenden 
Verluste deutlich reduziert. Zusätzlich erhöhen Stromschienen durch ihr Vo- 
lumen und die elektrisch sowie thermisch gute Anbindung an die Platine die 
thermischen Eigenschaften und damit das Aufheizverhalten des GSWs. In dem 
hier erstellten Modell wurden die thermischen Modelle auf der Grundlage der 
im Rahmen dieser Arbeit durchgeführten Versuche mit den entsprechenden 
GSW-Messdaten parametriert.© Daher wurden die Stromschienen nicht als 
einzelne Elemente, sondern als Ersatzgrößen in den thermischen Übergangs- 
widerständen berücksichtigt. Der in (d) dargestellte Verlauf zeigt deutlich, dass 
das Modell dennoch hinreichend genaue Ergebnisse liefert. 

Die Vermessung der Leistungsschalter muss, bedingt durch deren konstruktive 


6 In den genannten Versuchen wurde ein Seriengleichspannungswandler mit jeweils Quellen und 
Senken auf beiden Seiten verwendet. Der GSW wurde mit einer Restbus-Simulation betrieben, 
durch welche die Ausgangsleistung geregelt werden konnte. Auf diese Weise wurden zum 
Modellabgleich sowohl Leistungs- als auch Temperaturmessungen durchgeführt. 
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Abbildung 5.35: Warmebildaufnahme eines 12 V/48V-Gleichspannungswandler bei zwei Kilowatt 
Ausgangsleistung. Sichtbar sind die Eingangsfilter, die Stromschienen und der 
Leistungsfilter. Dargestellt sind in (a) die Aufnahmen zu Beginn, in (b) nach 
100 Sekunden und in (c) nach 900 Sekunden. Die dabei gemessenen sowie die 
simulierten Temperaturverläufe sind in (d) dargestellt. 


Lage, über die Kühlkörperseite des GSWs erfolgen. Für die Parametrierung 
des thermischen Modells der Leistungsschalter wurde der GSW ohne Kühl- 
körper vermessen. Auf der Basis der so gewonnenen Messdaten und der 
Parameterbestimmung mittels PSO wurden die Wärmetransportwiderstände 
der Leistungsschalter zum Kühlkörper berechnet. In Abbildung 5.36 sind die 
Wärmebildaufnahmen der Leistungsschalter bei einer Ausgangsleistung von 
500 Watt dargestellt. Wie aus den in (a) bis (f) dargestellten Wärmebildaufnah- 
men hervorgeht, sind nach ca. 10 Sekunden (b) lokale Temperaturerhöhungen 
im Bereich der Schaltzellen zu erkennen. Nach ca. 20 Sekunden (c) werden 
Temperaturunterschiede zwischen den LS- und den HS-Mosfets der Leis- 
tungsschalter erkennbar. Der Grund für das zeitlich versetzte Aufheizen ist 
die unterschiedliche Einschaltdauer der Leistungsschalter. Mit zunehmender 
Erwärmung der anderen Komponenten und der näheren Umgebung hat sich 
nach etwa 150 Sekunden die Kühlfläche der LS-Mosfets auf ca. 80°C und die 
Temperatur der HS-Mosfets auf ca. 60°C erwärmt. 
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Abbildung 5.36: Warmebildaufnahme eines 12V/48V-Gleichspannungswandlers bei 500 Watt 
Ausgangsleistung. Dargestellt sind die Erwärmungen der vier Zellen des Leis- 
tungsschalters zu Beginn der Messungen (a), nach 10 Sekunden (b), nach 20 Se- 
kunden (c), nach 30 Sekunden (d), nach 60 Sekunden (e) und nach 150 Sekunden 


(f). Die dabei gemessenen und simulierten Temperaturverläufe sind in (g) darge- 
stellt. 


Die in (g) dargestellten Temperaturverläufe für die HS-Mosfets Tys zeigen eine 
gute Übereinstimmung zwischen den gemessenen und den simulierten Tem- 
peraturen. Der Verlauf der simulierten Temperatur der LS-Mosfets Tzs weicht 
aufgrund der etwas niedriger ausfallenden Schaltverluste zwar geringfügig 
vom Verlauf der gemessenen Temperatur ab; die Abweichungen liegen jedoch 
in einem akzeptablen Bereich. Auch die berechneten Temperaturverläufe der 
seriell verbauten Sicherheitsschalter Tyy und Try zeigen gute Übereinstim- 
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mungen mit den gemessenen Daten. Korrespondierend den im Vergleich mit 
der Leistungsstufe deutlich geringeren Verlusten fällt auch die Erwärmung in 
dem hier betrachteten Zeitbereich deutlich geringer aus. 


5.4.5 Zuverlässigkeitsmodell des GSW 


Für die Bewertung der Zuverlässigkeit des hier betrachteten bidirektionalen 
12V/48V-GSWs ist entscheidend, welche Auswirkungen mögliche Fehler im 
GSW nach sich ziehen und mit welcher Häufigkeit diese eintreten. Zur Be- 
antwortung dieser Fragen werden in diesem Abschnitt die möglichen Fehler 
der wesentlichen Komponenten vorgestellt. Anschließend werden die Aus- 
wirkungen dieser Fehler diskutiert und die Ausfallraten der einzelnen Kom- 
ponenten berechnet. In Architekturen mit 12V- und 48V-Spannungsebene 
wird ein GSW zur Kopplung der Spannungsebenen benötigt. Während die 
48V-Spannungsebene von einem 48V-Generator gespeist wird, besteht die 
Hauptaufgabe des GSWs in der Versorgung der 12V-Spannungsebene. Dies 
kann dann nicht mehr gewährleistet werden, wenn interne Fehler zum Ausfall 
oder externe Fehler zur Überlastung des GSWs führen. Dabei ist der GSW 
von der Spannungslage in der 48V-Spannungsebene abhängig. Fällt der 48V- 
Generator aus, kann also auch der GSW keine Ausgangsleistung für die 12V- 
Spannungsebene bereitstellen. In den nächsten Abschnitten werden zunächst 
die typischen Fehlerverteilungen der einzelnen Komponenten eines GSWs 
diskutiert. Anschließend wird auf der Basis der gefundenen Fehler und ihrer 
möglichen Auswirkungen zur Bewertung der Zuverlässigkeit ein Teilfehler- 
baum abgeleitet. Das Unterkapitel schließt mit der Beschreibung der Ausfall- 
ratenmodelle für Komponenten des GSWs aus den Handbüchern FIDES [48], 
HDBK-217Plus [130], SN29500 [151] und TR62380 [12]. 


Fehler des GSW 


Da bei der folgenden Betrachtung nur Erst- und keine Folgefehler von Relevanz 
sind, werden nur interne Fehler der grundlegenden Komponenten des GSWs 
berücksichtigt; externe Fehler (bspw. infolge eines Fahrzeugbrands, eines Un- 
falls oder fehlerhafter Benutzung), die zu einer unzulässig hohen Erwärmung 
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bzw. zur Verformung von Komponenten oder zum Anlegen einer nicht spezi- 
fizierten Spannung führen, werden hingegen nicht berücksichtigt. 

Alle Fehler, die den GSW betreffen können, lassen sich auf Fehler zurück- 
führen, die aus der Leistungselektronik bekannt sind. In den meisten Fällen 
sind die Leistungsschalter, die Leistungsfilter oder die Ein- bzw. Ausgangsfilter 
betroffen. Aber auch infolge eines Kurzschlusses ausgefallene Filterkondensa- 
toren führen häufig zum Ausfall des GSWs [66] [82]. 

Der hier untersuchte und in Abbildung 5.37 dargestellte GSW besitzt vier 
parallele Phasen, wobei jede Leistungsstufe aus insgesamt vier parallelen LS- 
und HS-Leistungshalbleitern aufgebaut ist. Zusätzlich sind zwischen Ein- und 
Ausgang des GSWs serielle Trennschalter Syy und Szy integriert, um bei 
einem Kurzschluss der Leistungsschalter die elektrische Energieversorgung 
vom GSW trennen zu können. Dies ist eine wesentliche Anforderung, die er- 
füllt sein muss, um das Sicherheitsziel Vermeiden von Überspannung auf der 
12V-Spannungsebene gewährleisten zu können. Dementsprechend werden in 
den folgenden Berechnungen für die Zuverlässigkeit des GSWs die Trenn- 
schalter zur Verhinderung des dauerhaften Zusammenschlusses beider Span- 
nungsebenen in der Architektur explizit berücksichtigt. Für die Modellbildung 
wird angenommen, dass die Trennschalter auf der HV-Seite aus zwei und auf 
der LV-Seite aus fünf parallel geschalteten Mosfets aufgebaut sind. Zusätzlich 
wird angenommen, dass auf der LV-Seite Mosfets mit Körperdiode in Block- 
richtung integriert sind, um Fehlerströme in beiden Richtungen verhindern zu 
können. Diese Architektur erlaubt -sofern eine schnelle Reaktionszeit gegeben 
ist -’ die Trennung des GSWs von der elektrischen Energieversorgung, bevor 
die Spannungslage auf der 12V-Ebene auf eine unzulässig hohe und damit 
kritische Spannung ansteigt. Ein interner Kurzschluss des GSWs führt zu ei- 
nem offenen Ausfall. Letztendlich reduziert sich durch den Trennschalter die 
Kritikalität des internen Kurzschlusses deutlich, jedoch wird die Wahrschein- 
lichkeit für eine Leistungsreduktion bzw. den offenen Ausfall erhöht. 

Die hier durchgeführte vereinfachte Betrachtung des Aufbaus eines vierpha- 
sigen GSWs lässt keine allgemeingültigen Aussagen über die Zuverlässigkeit 
aller GSWs zu, sondern nur Aussagen über die Zuverlässigkeit des hier be- 
trachteten und modellierten GSWs. In der Detailbetrachtung bzw. in der Se- 


7 Je nach Anforderung, der Höhe des Kurzschlussstroms, der Dauer des Kurzschlusses, dem 
Zustand der Batterie (SOC, SOH usw.) und der Verbraucherleistung muss der Trennschalter den 
GSW innerhalb to < lms von der elektrischen Energieversorgung trennen können. 
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Abbildung 5.37: Schaltplan eines vierphasigen 12V/48V-Gleichspannungswandlers mit gekoppel- 
tem Leistungsfilter 


rienentwicklung müssen bei der Auswertung weitere Schaltkreise berücksich- 
tigt werden (welche das sind, hängt von der verwendeten Technologie und der 
GSW-Architektur ab); vor allem Fehler in Teilsystemen, die deutlich unterhalb 
der Hauptfunktionsebene angesiedelt sind, spielen hierbei eine wichtige Rolle. 
Ein Beispiel hierfür ist der Ausfall der internen Hilfsspannung, infolgedessen 
ein Großteil der Logikschaltkreise nicht mehr versorgt werden können, sodass 
der GSW ausfällt. 

Für das folgend betrachtete Zuverlässigkeitsmodell des GSWs werden die in 
Abbildung 5.37 dargestellten Komponenten berücksichtigt. Die in diesen Kom- 
ponenten möglicherweise auftretenden Fehler lassen sich nach [17] unterteilen 
in die Kategorien 


e kurzgeschlossen, 
e offen und 


e Parameterdrift. 
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Die Mosfets der Komponenten Syy, Srv und S44_g4 fallen in 80 Prozent 
der Fälle aufgrund eines Kurzschlusses, in 15 Prozent der Fälle offen und in 
weiteren 5 Prozent der Fälle aufgrund von Parameterdrift aus. Die gleichen 
Fehlerverteilungen zeigen sich in Bezug auf die Mosfets der Leistungsschalter. 
Durch den Aufbau der Leistungsschalter führt der offene Ausfall eines Mos- 
fets bei vier parallel geschalteten Mosfets nicht zu einem kritischen Fehler. Je 
nach Arbeitspunkt kann der GSW die 12V-Spannungsebene weiterhin spei- 
sen, sodass sicherheitskritische Verbraucher versorgt bleiben. Zu beachten ist 
allerdings, dass die verbleibenden Leistungshalbleiter deutlich stärker belastet 
werden. Durch einen Mitkopplungseffekt verursachte Folgefehler sind wahr- 
scheinlicher; damit wird der offene Ausfall aller Mosfets möglich. 

Da es sich bei dem hier betrachteten GSW um einen Wandler mit vier Phasen 
handelt, führt der Ausfall einer Gruppe von Leistungsschaltern zu einer Leis- 
tungsreduktion von 25 Prozent gegenüber der Normalleistung. Hinzu kommt, 
dass der gekoppelte Leistungsfilter infolge des Ausfalls einer Phase unsymme- 
trisch betrieben wird, wodurch die Kern- und Kupferverluste deutlich zuneh- 
men. Trotz dieser Verluste kann weiterhin eine ausreichende Ausgangsleistung 
bereitgestellt werden. Beim offenen Ausfall von zwei Phasen muss dahingegen 
angenommen werden, dass keine hinreichende Ausgangsleistung mehr bereit- 
gestellt werden kann und der Wandler offen ausgefallen ist. 

Im Allgemeinen wird bei der Auslegung von GSWs der Parameterdrift von 
Leistungshalbleitern berücksichtigt. Gealterte Mosfets können sich jedoch 
deutlich stärker erwärmen als bei der Auslegung angenommen und infolge 
hoher Belastungen fehlerhaft werden. 

Für die Spannungsstabilität in der elektrischen Energieversorgung und damit 
die zuverlässige Versorgung sicherheitsrelevanter Verbraucher sind vor allem 
im Kurzschluss ausgefallene Mosfets in der Leistungsstufe kritisch. Im Fall der 
hier betrachteten Architektur führen ein im Kurzschluss ausgefallener HS- und 
LS-Leistungsschalter mit dem Einschalten des jeweils konträr angesteuerten 
Mosfets zum Kurzschluss der Eingangsquelle. Durch die beschriebene Schutz- 
beschaltung verhält sich dieser Kurzschluss im GSW wie ein offener Ausfall. 
Die möglichen Fehlerursachen in Bezug auf den seriellen Trennschalter sind 
dabei, dass ein Mosfet 


€1,2 Suv,ıv Offen, 


e3.4 Suv,rv kurzgeschlossen oder 
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es, 6 Suv,Lv mit Parameterveränderung 


ausgefallen ist. Die Wahrscheinlichkeit für den Ausfall eines Mosfets des 
Trennschalters Syv,zv hängt dabei von der Summe der Belastungen aus allen 
Fahrzyklen über die gesamte Nutzungsdauer hinweg ab. 

Die Leistungshalbleiter der getakteten Leistungsstufe sind deutlich höheren 
Belastungen ausgesetzt als die Mosfets des Trennschalters. Ein im Kurzschluss 
ausgefallener Mosfet der Leistungsstufe führt zu einem Stromanstieg, bis die 
Trennschalter den Fehler isolieren und der GSW offen ausfällt. Die möglichen 
Ursachen für den Ausfall eines Mosfets der Leistungsstufe sind dabei, dass ein 
Mosfet 


e7,8 SHs,xs offen, 
€9,10 Sus,ns kurzgeschlossen oder 


€11,12 SHs,Ls mit Parameterveränderung 


ausgefallen ist. 

Der in Abbildung 5.37 dargestellte Schaltplan enthält die Kondensatoren Ce 
und C, als Ersatzgrößen für das Teilsystem Filter. Zur Modellberechnung wur- 
den Multilayer Ceramic Capacitors (MLCC)-Kondensatoren als Ein- und Aus- 
gangsfilter verwendet. Die Verwendung von MLCCs führt zwar dazu, dass die 
tatsächlichen EMV-Eigenschaften des Filters nur bedingt repräsentiert werden; 
durch die hierbei vorgenommene Vereinfachung wird jedoch eine Abschätzung 
der Filterzuverlässigkeit möglich. Nach [17] fallen die Filterkondensatoren Ce 
und C, zu 70 Prozent im Kurzschluss, zu 10 Prozent offen und zu 20 Prozent 
mit Parameterdrift aus. Infolge der verwendeten Technologie können MLCC- 
Kondensatoren alterungsbedingte Abweichungen von bis zu 20 Prozent ge- 
genüber der Ausgangskapazität des Neuteils aufweisen. Der Parameterdrift 
beeinflusst zwar die Filterleistung und erhöht damit die EMV-Belastung; die 
grundsätzliche Funktion des GSWs wird jedoch erst dann gefährdet, wenn ei- 
ner der Kondensatoren kurzgeschlossen ausfällt. 

Offen ausgefallene Kondensatoren sind im Feld selten zu beobachten; da ein 
offen ausgefallener Filter jedoch zu kritischen Fehlern des GSWs führen kann, 
ist auch eine nähere Betrachtung dieser Fälle wichtig. Beim Abschalten der 
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Leistungsschalter treten aufgrund der parasitären Induktivität der AVT® und 
der Induktivität des Leistungsfilters hohe Abschaltenergien auf. Diese müssen 
zum Schutz vor Überspannung abgebaut werden. Fehlen wesentliche Dämp- 
fungselemente, werden die Leistungshalbleiter in Avalanche betrieben und 
dadurch irreversibel beschädigt. 

Die Fehlerursachen der Filterkondensatoren lassen sich somit wie folgt zusam- 
menfassen: 


e13,14 Ce,a Filter ist offen, 
€15,16 Ce,a Filter ist kurzgeschlossen und 


€17,18 Ce,a Filter ist mit Parameterveränderung ausgefallen. 


Im Vergleich zu den im Vorigen betrachteten Komponenten ist der Leistungs- 
filter eine recht robuste Komponente. Nach [17] fallen 80 Prozent der Leis- 
tungsfilter offen und 20 Prozent aufgrund eines Kurzschlusses aus. Fällt ein 
Leistungsfilter offen aus, kann der GSW die elektrische Energieversorgung, 
wenn auch mit Einschränkungen, weiterhin aufrechterhalten. Im Gegensatz 
zum Kurzschluss führt ein offener Ausfall eines Leistungsfilters also zwar zu 
einer Leistungsreduktion, aber nicht zum Ausfall des GSWs. Im Fall eines 
Kurzschlusses hingegen steigt der Fehlerstrom an, sodass die seriellen Trenn- 
schalter öffnen und der GSW offen ausfällt. 

Die Fehlerfälle des Leistungsfilters lassen sich somit zusammenfassen mit 


eıg Lı,....‚ ist offen und 


e20 Ly,....4 ist kurzgeschlossen ausgefallen. 


Zusätzlich zu den bisher beschriebenen Fehlern werden bei der Zuverlässig- 
keitsbewertung nach dem hier entwickelten Modell auch Fehler des Mikro- 
controllers berücksichtigt, wobei angenommen wird, dass ein Fehler des Mi- 
krocontroller zum offenen Ausfall des GSWs führt. Damit ist der Fehler e21 
definiert zu 


e21} Lı,....„ Mikrocontroller ist ausgefallen. 


8 AVT steht für Aufbau und Verbindungstechnik und beschreibt die Stromführung von der Platine 
zu den Anschlüssen des GSWs. 
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Zusammenfassend lässt sich sagen, dass ein Großteil der Fehlerursachen des 
GSWs, vor allem aufgrund des hohen Anteils von Fehlern im Trennschalter, 
zu einem offenen Ausfall führt. Dies ist, wie im Falle eines offenen Ausfalls 
des Generators, besonders dann kritisch, wenn der Ladezustand der Batterie 
unzureichend bzw. der Innenwiderstand der Batterie durch Alterung angestie- 
gen ist. In diesen Fällen kann die Versorgungsspannung einbrechen, sodass die 
Versorgung sicherheitsrelevanter Verbraucher nicht mehr gewährleistet ist. 

Auf der Basis der im Vorigen diskutierten Fehler und deren Verteilung lässt 
sich nun der in Abbildung 5.38 dargestellte Teilfehlerbaum zur Berechnung 
der Zuverlässigkeit des GSWs ableiten. Aus Gründen der Ubersichtlichkeit 


Leistungsreduktion Keine Ausgangsleistung 
offener Ausfall offener Ausfall 


Keine Ausgangsleistung 
kurzg. Ausfall 


, 
Trennschalter Leistungsschalter Filterkondensatoren Leistungsfilter Mikrocontroller 


Abbildung 5.38: Vereinfachter Teilfehlerbaum des bidirektionalen 12V/48V- 
Gleichspannungswandlers mit zusammengefassten Basisfehlern 


wurden die Basisereignisse bei mehreren gleichen Bauelementen einer Kom- 
ponente mit e% zusammengefasst. Die Basisfehler e bis e21 teilen sich auf 
die einzelnen Bauelemente der Komponenten auf. Beispielsweise ist der HV- 
Trennschalter aus zwei parallel geschalteten Mosfets aufgebaut; fallt einer der 
beiden aus, ist mit einer Leistungsreduktion zu rechnen; fallen hingegen beide 
aus, kann der GSW gar keine Ausgangsleistung mehr bereitstellen. 


5.4 Modell des Gleichspannungswandlers 


5.4.6 Berechnung der Ausfallrate 


Zur Berechnung der Ausfallwahrscheinlichkeit des GSWs im Gesamten miis- 
sen die Ausfallraten der einzelnen Komponenten bekannt sein. Zu diesem 
Zweck werden im Folgenden die wesentlichen Ausfallmodelle vorgestellt und 
diskutiert. 

Die Ausfallraten der elektronischen Komponenten des hier betrachteten GSWs 
werden auf der Basis der Angaben in den Handbiichern FIDES [48], HDBK- 
217Plus [130] und SN29500 [151] berechnet. Fiir alle Komponenten werden 
dabei die Belastungen aus den Verlustleistungs- und Temperaturberechnungen 
berücksichtigt. Die während der Fahrzyklen auftretenden Verluste führen zu 
unterschiedlich hohen Erwärmungen und somit auch zu unterschiedlich hohen 
Ausfallraten der Komponenten. Die Ausfallratenmodelle für die Trenn- und 
Leistungsschalter werden mit den aus Abschnitt 5.3.5 bekannten Gleichungen 
5.36, 5.37 und 5.38 berechnet. In Abbildung 5.39 sind die Berechnungser- 
gebnisse für den HS-Mosfet des Leistungsschalters während eines Fahrzyklus 
abgebildet. In (a) ist der Ausgangsstrom des GSWs während der Kurzstrecke, 
in (b) die Summe der Verlustleistung aller HS-Mosfets und in (c) die dadurch 
verursachte Temperaturveränderung dargestellt. In (d) sind die berechneten 
Ausfallraten des HS-Mosfets zu sehen. 

Wie sich an dem in (d) dargestellten Verlauf der Ausfallraten zeigt, ist die- 
ser sensitiv gegenüber den in (c) dargestellten Temperaturveränderungen. Die 
Ausfallraten der Standards unterscheiden sich im Mittel, wobei die mittlere 
Ausfallrate 


e nach FIDES bei 2,8 FIT, 
e nach HDBK217 bei 13,9 FIT und 
e nach SN29500 bei 9,6 FIT liegt. 


Die Abweichungen zwischen den verschiedenen Handbüchern resultieren dar- 
aus, dass darin unterschiedlich hohe Basisausfallraten sowie verschiedene Be- 
lastungsmodelle inklusive den jeweils darin enthaltenen Faktoren verwendet 
werden. 

Für den Leistungsfilter berechnet sich die Ausfallrate nach FIDES [48] mit 
dem aus Gleichung 5.35 bekannten Zusammenhang zu 


ALF = ApH ` Ipm HPR. (5.54) 
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Abbildung 5.39: (a) Ausgangsstrom des Gleichstromwandlers auf der Grundlage der Kurzstre- 
cke; (b) Summe der Verlustleistungen aller HS-Mosfets; (c) Temperaturverlauf; 
(d) Ausfallraten eines HS-Mosfets, berechnet mit FIDES, HDBK-217Plus und 
SN29500 


Hierbei sind Apr die physikalische, belastungsabhängige Ausfallrate sowie 
Ipm und IIpr Faktoren zur Berücksichtigung der Qualität sowie des Herstel- 
lungsprozesses. Die belastungsabhängige Ausfallrate 4 py des Leistungsfilters 
setzt sich zusammen aus 


ApH = ABM" >; kzi: (Ira + Urcy + Uwe); INi- (5.55) 


Die Grundbedeutung der Parameter ist mit den aus Abschnitt 5.3.5 bekann- 
ten Zusammenhängen identisch. Die Grundlage der Berechnung bildet die 
Basisfehlerrate Agm. Für Leistungsfilter werden die Belastungsmodelle der 
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Temperatur Iry, der Zyklisierung Ilrcy und der Beschleunigung bzw. me- 
chanischen Belastung Img berücksichtigt. 

Die Anzahl der Einsatzphasen n und der Faktor der Einsatzdauer kz werden 
aus den jeweiligen Eingangsdaten gewonnen und bilden das Verhältnis zur 
jährlichen Gesamtbelastung. Anders als nach der FIDES-Norm berechnet sich 
die Ausfallrate des Leistungsfilters auf der Grundlage des Handbuchs HDBK- 
217Plus zu 


AOB ` DCO ' TTO 
ALF = TG `| +EB ` DCN ` TTE |+ TIN. (5.56) 


t+ArcB* CR‘ ADT 


Hierbei sind mg der Faktor für die kalendarische Veränderung der Zuverläs- 
sigkeit und Agog, Agg Sowie Arce die Basisfehlerraten mit den jeweiligen 
Belastungsfaktoren 7. Die zusätzliche Ausfallrate rn stellt einen konstanten 
Korrekturfaktor dar. 

Das Modell zur Berechnung der Ausfallraten auf der Basis der Siemens- 
Norm SN29500 berücksichtigt deutlich weniger Einflussgrößen als die beiden 
zuvor dargestellten Modelle. Die Ausfallrate der Leistungsfilter berechnet sich 
hier mit dem aus Gleichung 5.38 bekannten Zusammenhang: 


ALS = Aref "LT; (5.57) 


Zur Berechnung der Ausfallrate der EMV-Filter werden MLCC-Kondensatoren 
als Bauelemente genutzt. Die Spezifizierung des Kondensatortyps ist insofern 
relevant, als in Bezug auf das Alterungs- und Ausfallverhalten zwischen den 
verschiedenen Technologien wichtige Unterschiede bestehen. Im Automobil- 
bereich werden in der Leistungselektronik zum Großteil Keramikkondensato- 
ren eingesetzt. In diesem Fall berechnet sich die Ausfallrate nach FIDES mit 
dem Modell aus den Gleichungen 5.54 und 5.55. Für Kondensatoren wird das 
elektrothermische Belastungsmodell mit dem spannungsabhängigen Faktor 


1 ©. 
a 6 4). 5.58 
U (> a (5.58) 


erweitert. Dabei sind Sr ein konstanter, von der Bauart abhängiger Referenz- 
faktor, Ua die auftretende und U, die spezifizierte Bauteilspannung. Laut dem 
Handbuch HDBK217Plus berechnet sich die Ausfallrate der Kondensatoren 
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mit Gleichung 5.37. 

Die Siemens-Norm SN29500 berücksichtigt demgegenüber zusätzliche Fakto- 
ren für die Spannungsabhängigkeit ,, und die Qualität zo. Dementsprechend 
berechnet sich die Ausfallrate nach SN29500 zu 


AFI =Aref ` NU ` NT TQ. (5.59) 


Die Ausfallrate des Mikrocontrollers berechnet sich nach dem Handbuch FI- 
DES mit Gleichung 5.54 bzw. 5.55. Laut dem Handbuch HDBK217Plus 
berechnet sie sich unter zusätzlicher Berücksichtigung der Luftfeuchtigkeit 
Tru über Gleichung 5.37, und laut der Siemens-Norm SN29500 mittels Glei- 
chung 5.38. 

Wie deutlich wurde, ähneln sich die vorgestellten Ausfallratenmodelle sehr. 
Der größte Unterschied besteht in der jeweils verwendeten Datengrundlage 
und den daraus abgeleiteten Faktoren. 
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5.5 Zusammenfassung 


Jede Modellbildung bzw. Simulation erfordert die Definition von Ein- und 
Ausgangsgrößen. Für die in dieser Arbeit vorgenommenen Untersuchungen 
zur Zuverlässigkeit der elektrischen Energieversorgung in Kraftfahrzeugen 
werden als Eingangsdaten die in Unterkapitel 5.1 vorgestellten Fahrprofile 
sowie die daraus gewonnenen Messgrößen genutzt. Die Grundlage für die Be- 
rechnung der Zuverlässigkeit bildet die in Unterkapitel 3.3 hergeleitete und in 
Abbildung 3.6 dargestellte Methode zur Beurteilung der Zuverlässigkeit der 
elektrischen Energieversorgung in Kraftfahrzeugen. 

Die Stabilität der Spannungsversorgung und damit die Zuverlässigkeit der elek- 
trischen Energieversorgung sicherheitskritischer Verbraucher steht und fällt mit 
der Zuverlässigkeit der einzelnen Teilsysteme 


e Energiespeicher, 
e Energiewandlung und 


e Vernetzung.” 


Der am häufigsten eingesetzte Energiespeicher in Kraftfahrzeugen ist die Blei- 
Säure-Batterie. Aus diesem Grund wurde in Unterkapitel 5.2 auf der Grundlage 
von Felddaten ein Zuverlässigkeitsmodell für Blei-Säure-Batterien entwickelt. 
Anhand dieses Modells sowie anhand der in Abschnitt 5.2.2 beschriebenen 
Alterungs- und Ausfallmechanismen und der Fehlerverteilungen aus [3] lassen 
sich die Ausfallwahrscheinlichkeiten für Blei-Säure-Batterien ableiten. 

Die beiden wesentlichen Komponenten der Energiewandlung sind der Gene- 
rator und der Gleichspannungswandler. Wegen ihrer Bedeutung für moderne 
Kraftfahrzeuge liegt der Fokus in der vorliegenden Arbeit auf Klauenpolge- 
neratoren sowie auf bidirektionalen 12V/48V-Gleichspannungswandlern. Für 
erstere wurde in Unterkapitel 5.3, für letztere in Unterkapitel 5.4 ein Zuverläs- 
sigkeitsmodell vorgestellt. 

Das Modell des Generators wurde auf der Datenbasis für einen 180A-Klauenpol- 


9 Das Teilsystem Vernetzung wird im Rahmen der vorliegenden Arbeit nur mit Bezug auf 
Schmelzsicherungen berücksichtigt, da eine umfassende Untersuchung aller Teilkomponenten 
dieses Systems (Leitungen, Sicherungen, Splices, Relais etc.) den Rahmen der Arbeit sprengen 
würde. 
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generator entwickelt und validiert. Eine maßgebliche Rolle spielen in diesem 
Modell die Verlustleistungen Py(t;). Auf dem Weg einer detaillierten Be- 
schreibung der hier relevanten physikalischen Zusammenhänge wurden die 
Gleichungen 5.19 bis 5.27 hergeleitet, anhand derer sich die Verlustleistungen 
der Komponenten eines Klauenpolgenerators mathematisch beschreiben und 
vorhersagen lassen. Auf der Grundlage der Studien [100] und [98] konnte dar- 
über hinaus ein vereinfachtes thermisches Netzwerk für Klauenpolgeneratoren 
entwickelt werden. Die einzelnen Parameter für dieses Netzwerk konnten zu 
einem Teil durch analytische Berechnungen und zu einem anderen Teil durch 
Partikelschwarmoptimierung (PSO) ermittelt werden. Wie die Validierung ge- 
zeigt hat, liefern sowohl das Verlustleistungsmodell als auch das datenbasierte 
Temperaturmodell hinreichend genaue Ergebnisse. Die Berechnung der Aus- 
fallraten des Generators bzw. seiner Komponenten erfolgt für die mechanischen 
Komponenten Lager, Stator- und Läuferwicklung, Kohle-Schleifring-System 
und die Verbindungsstelle zur elektrischen Energieversorgung auf der Grund- 
lage das Handbuchs NSWC-11 [111] anhand der Gleichungen 5.30 bis 5.39. 
Zur Berechnung der Ausfallraten der elektronischen Komponenten Gleich- 
richtung und Regler wurden auf der Grundlage der Handbücher FIDES [48], 
HDBK-217Plus [130] und SN29500 [151] die Gleichungen 5.35 bis 5.39 her- 
geleitet. 

Die zweite wesentliche Komponente der Energiewandlung neben dem Gene- 
rator ist der Gleichspannungswandler. Im Zuge der zunehmenden Elektrifizie- 
rung von Kraftfahrzeugen gibt es immer mehr Architekturen, die zusätzlich zur 
12V-Spannungsebene eine 48V- bzw. eine Hochvoltspannungsebene (400 bzw. 
800 Volt) vorsehen. Da auch bei Einsatz dieser zusätzlichen Spannungsebenen 
ein Großteil der Steuergeräte bzw. Aktoren auf der 12V-Spannungsebene ver- 
bleibt, ist zu deren Versorgung ein Gleichspannungswandler erforderlich. In 
der vorliegenden Arbeit wurde deshalb ein Zuverlässigkeitsmodell für einen 
bidirektionalen 12V/48V-Gleichspannungswandler entwickelt. Wie beim Mo- 
dell des Generators spielt auch hier die Berechnung der Verlustleistungen eine 
zentrale Rolle. Diese erfolgt anhand der Gleichungen 5.50 bis 5.52. Für das 
mit der Verlustleistungsberechnung gekoppelte Temperaturmodell wurde ein 
passendes thermisches Netzwerk entwickelt. Die hierfür benötigten Parameter 
wurden zum einen aus Herstellerangaben bezogen sowie zum anderen auf der 
Grundlage von Messdaten mittels PSO berechnet. Auch hier konnte gezeigt 
werden, dass sowohl das Verlustleistungs- als auch das Temperaturmodell 
hinreichend genaue Ergebnisse liefern. Die Ergebnisse beider Modelle dienen 
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anschließend zur Berechnung der Ausfallraten auf der Basis der oben erwähn- 
ten Handbücher FIDES [48], HDBK-217Plus [130] und SN29500 [151]. 
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6 Anwendung und Auswertung der 
Methode 


Im Folgenden wird die in den vorigen Kapiteln entwickelte Methode zur Bewer- 
tung der Zuverlässigkeit technischer Systeme in der automobilen Vorentwick- 
lung auf das Beispiel der elektrischen Energieversorgung von hochautomati- 
sierten Verbrauchern angewendet. Zunächst wird die Anwendung der Methode 
in Bezug auf die klassische Architektur der elektrischen Energieversorgung in 
Kraftfahrzeugen schrittweise erläutert. Anschließend werden die Wahrschein- 
lichkeiten für das Eintreten kritischer Zustände in der elektrischen Energie- 
versorgung hochautomatisierter Verbraucher berechnet, ausgewertet und dis- 
kutiert. Um einen Vergleich herstellen zu können, wird — ebenfalls anhand 
der hier entwickelten Methode - zusätzlich eine Architektur mit zwei Span- 
nungsebenen untersucht. Beide Architekturen werden abschließend auf ihre 
Sensitivität gegenüber Variationen in den jeweiligen Verteilungen der Fehler 
in den verschiedenen Komponenten untersucht. Das Kapitel schließt mit einer 
Zusammenfassung der gewonnenen Erkenntnisse. 


6.1 Zuverlässigkeitsbewertung der klassischen 
Architektur zur elektrischen 
Energieversorgung 


Im Folgenden wird anhand der in Unterkapitel 3.2 vorgestellten Methode die 
Zuverlässigkeit der klassischen Architektur zur elektrischen Energieversor- 
gung bewertet. Zur Berechnung der Wahrscheinlichkeiten für den Eintritt von 
kritischen Fehlern in der elektrischen Energieversorgung sind laut der hier 
entwickelten Methode die folgenden Schritte durchzuführen: 
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. Definition der Architektur der elektrischen Energieversorgung sowie 


Auswahl der Komponentenmodelle fiir die Teilsysteme Energiespeicher, 
Energiewandlung und Vernetzung; 


Festlegung des zu untersuchenden Streckenprofils (Kurzstrecke (KS), 
Kurze Pendlerstrecke (KPS) und Langstrecke (LS));! 


Berechnung der Verlustleistungen, der Temperaturen und der Ausfall- 
raten der eingesetzten Komponenten in Abhängigkeit vom gewählten 
Fahrprofil; 


Berechnung der Wahrscheinlichkeiten für das Eintreten von verschie- 
denen Fehlern auf der Grundlage von Fehlerbäumen für die jeweils 
untersuchten Komponenten; 


Berechnung der Wahrscheinlichkeiten für den Ausfall der gesamten elek- 
trischen Energieversorgung auf der Basis der Hauptereignisse der Kom- 
ponentenfehlerbäume; 


Auswertung der berechneten Wahrscheinlichkeiten für das Eintreten von 
Basisereignissen sowie Bestimmung des Einflusses derselben auf die 
Hauptereignisse; 


. Analyse der Sensitivität der verschiedenen Architekturen gegenüber ver- 


schiedenen Ausfallraten der Komponenten sowie gegenüber Variationen 
der komponentenspezifischen Fehlerverteilungen. 


! Um das tatsächliche Nutzungsverhalten verschiedener Kunden abbilden zu können, müsste 
man unterschiedliche Kombinationen aus diesen drei Streckenprofilen betrachten. Dies wäre 
ggf. Gegenstand weiterer, auf dieser Arbeit aufbauender Untersuchungen. Im Rahmen der 
hier vorliegenden Arbeit werden jedoch bewusst die einzelnen Streckenprofile untersucht, da 
so sichergestellt werden kann, dass die Ergebnisse untereinander vergleichbar sind und somit 
verlässliche Aussagen darüber getroffen werden können, welchen Einfluss die verschiedenen 
Streckenprofile auf die Zuverlässigkeit haben. 
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6.1.1 Definition der Architektur und Auswahl der 
Komponentenmodelle 


Im ersten Schritt werden die Architektur und damit die für die elektrische 
Energieversorgung notwendigen Komponenten festgelegt. In Abbildung 6.1 
sind die Architektur sowie die wesentlichen Komponenten und die zugehöri- 
gen physikalischen Größen der in Abschnitt 4.1.1 beschriebenen klassischen 
elektrischen Energieversorgung dargestellt. Zur Untersuchung des Energiespei- 
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Abbildung 6.1: Vereinfachter Schaltplan und Topologie einer klassischen elektrischen Fahrzeug- 
energieversorgung mit einem Energiespeicher und einem Generator 


chers wird das in Unterkapitel 5.2 vorgestellte Modell einer Blei-Säure-Batterie 
genutzt. Da es sich dabei um ein stochastisches Modell handelt, wird kein Be- 
zug zu physikalischen Messgrößen hergestellt. Grundsätzlich wäre auch die 
Anwendung eines belastungsabhängigen Modells möglich; hierfür wären je- 
doch zusätzliche Messdaten erforderlich, um einen Zusammenhang zwischen 
den Belastungen der einzelnen Komponenten bzw. des Energiespeichers im 
Gesamten und den jeweiligen Ausfallwahrscheinlichkeiten herzustellen. 

Zur Untersuchung des Generators wird das in Unterkapitel 5.3 vorgestellte 
Modell eines Klauenpolgenerators eingesetzt. 

Bezüglich der Verbraucher wird zwischen relevanten und nicht relevanten un- 
terschieden, d. h. zwischen Verbrauchern ohne und Verbrauchern mit Sicher- 
heitsziel. Verbraucher ohne Sicherheitsziel sind bezüglich des eigenen Fehler- 
verhaltens nicht abgesichert. Daher können Fehler in diesen Verbrauchern bzw. 
in deren Zuleitungen die Stabilität der elektrischen Energieversorgung stark 
beeinträchtigen. In der Folge kann es neben dem Ausfall von Energiequellen 
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auch zu Riickwirkungen auf andere nicht abgesicherte Verbraucher kommen, 
was seinerseits zur Unterversorgung sicherheitsrelevanter Verbraucher und da- 
mit im schlimmsten Fall zum Funktionsverlust betroffener Steuergeräte führen 
kann. Nicht relevante Verbraucher - also solche ohne Sicherheitsziel — werden 
im Folgenden mit V und relevante Verbraucher - also solche mit Sicherheitsziel 
sowie Rückwirkungsfreiheit — mit Vs gekennzeichnet. 


6.1.2 Festlegung der Fahrprofile 


Als Fahrprofil kann entweder eine einzelne Streckenart, z. B. die Kurzstrecke, 
oder eine Kombination aus den in Unterkapitel 5.1 vorgestellten Streckenarten 
festgelegt werden. Die folgenden Berechnungen werden in Bezug auf verschie- 
dene Streckenarten durchgeführt. Die ausgewählten Streckenarten sowie deren 
wesentliche Eigenschaften sind in Tabelle 6.1 zusammengefasst. 


Strecke Batterie Start-Stopp Verbraucher 

Typ Abk. | Länge [km] | Durchsatz [Ah] | Anzahl | Länge [min] | Umsatz [kWh] 
Kurzstrecke A | KA 6,99 2,13 0 0,63 0,10 
Kurzstrecke B KB 7,13 2.71 4 1,46 0,08 
Kurzstrecke C KC 6,87 4,79 11 3,43 0,12 

Kurze Pendlerstrecke PK 22,34 4,81 10 2,83 0,19 
Lange Pendlerstrecke PL 78,74 12,41 21 7,24 0,66 
Langstrecke A| LA 316,20 15,58 15 3,06 1,48 
Langstrecke B LB 321,75 10,05 0 0,37 1,54 


Tabelle 6.1: Zur Berechnung der Zuverlassigkeit der elektrischen Energieversorgung verwendete 
Streckenarten sowie deren spezifische Eigenschaften 


Die verschiedenen Kurzstrecken unterscheiden sich vor allem hinsichtlich der 
auftretenden Start-Stopp-Häufigkeiten voneinander. Mit Zunahme der Start- 
Stopp-Häufigkeit und der jeweiligen Start-Stopp-Länge nehmen der Ladungs- 
durchsatz des Energiespeichers und damit die Belastung desselben zu. Des 
Weiteren variiert die von den Verbrauchern während des jeweiligen Fahrzy- 
klus aufgenommene Energiemenge. 

Für die Pendlerstrecken werden zwei verschiedene Profile genutzt: ein Profil 
mit der Bezeichnung kurz mit einer Streckenlänge von 22,34 Kilometern sowie 
ein Profil mit der Bezeichnung lang mit einer Streckenlänge von 78,74 Kilo- 
metern. 

Für die Langstrecke wurden eine Strecke ohne und eine Strecke mit Start-Stopp- 
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Szenarien ausgewählt. Beide Strecken unterscheiden sich dementsprechend be- 
züglich des Ladungsdurchsatzes und der Belastung der Batterie voneinander. 
In den folgenden Abschnitten wird untersucht, welche Auswirkungen die un- 
terschiedlichen Fahrprofile bzw. die dadurch bedingten Belastungen auf die 
Zuverlässigkeit der elektrischen Energieversorgung haben. 


6.1.3 Durchführung der Berechnung 


Der Ablauf zur Berechnung der Zuverlässigkeit der elektrischen Energiever- 
sorgung ist in Abbildung 6.2 dargestellt. Nach den ersten beiden Schritten, 
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Abbildung 6.2: Übersicht über die Anwendung der Methode zur Berechnung der Zuverlässigkeit 
der elektrischen Energieversorgung in der automobilen Vorentwicklung 


der Festlegung der Architektur und der Auswahl der Komponenten, werden 
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im dritten Schritt die physikalischen Eigenschaften aller Komponenten in Ab- 
hangigkeit von deren individuell verschiedenen Belastungen berechnet. Die 
Berechnung der Verlustleistungen Py(t;), der Temperatur T(t;) und der Aus- 
fallraten A(t;) erfolgt dabei iterativ mit jedem Zeitschritt t;. Im vierten Schritt 
werden die Mittelwerte der berechneten Ausfallraten berechnet und als Pa- 
rametrierung für die Basisereignisse der Komponentenfehlerbäume genutzt 
(vgl. die Abschnitte 5.3.5 und 5.4.5). Im fünften Schritt werden schließlich 
die Wahrscheinlichkeiten für das Eintreten der wesentlichen Fehlerzustände 
der elektrischen Energieversorgung berechnet. Zu diesem Zweck werden drei 
verschiedene Hauptereignisse ausgewertet, die eine große Auswirkung auf die 
elektrische Energieversorgung haben: (a) der Ausfall der elektrischen Ener- 
gieversorgung, (b) eine verringerte Leistungsfähigkeit durch den Ausfall der 
Batterie und (c) eine reduzierte Energiemenge durch den Ausfall des Genera- 
tors. 


220 


6.1 Zuverlässigkeitsbewertung der klassischen Architektur 


6.1.4 Fehlerbäume der klassischen elektrischen 
Energieversorgung 


In der automobilen Vorentwicklung ist bei der Untersuchung der Zuverläs- 
sigkeit der elektrischen Energieversorgung von Kraftfahrzeugsystemen von 
Interesse, mit welcher Wahrscheinlichkeit die elektrische Energieversorgung 


e ausfällt, 
e eine verringerte Leistungsfähigkeit aufweist oder 


e nur eine reduzierte Energiemenge bereitstellen kann. 


Bei einem Ausfall der elektrischen Energieversorgung können weder die Ver- 
braucher ohne Sicherheitsziel V noch die sicherheitsrelevanten Verbraucher Vs 
mit Energie versorgt werden. Fällt die elektrische Energieversorgung über einen 
hinreichend langen Zeitraum aus, fallen in der Folge auch die sicherheitsre- 
levanten Verbraucher wegen Unterversorgung aus. Hierdurch gehen wieder- 
um wesentliche Funktionen wie z. B. das Steer-By-Wire-System verloren. Der 
Ausfall der elektrischen Energieversorgung für einen sicherheitsrelevanten Ver- 
braucher tritt für die in Abbildung 6.1 dargestellte klassische Architektur dann 
ein, wenn 


weder der Generator noch die Batterie Ausgangsleistung bereitstellen, 


die Batterie kurzgeschlossen ausfällt, 


eine mit entsprechend hohen Schmelzsicherungswerten abgesicherte Zu- 
leitung oder ein Verbraucher V ohne Sicherheitsziel kurzgeschlossen 
ausfällt, 


die Sicherungen von Batterie und Generator offen ausfallen oder 


die Sicherung eines sicherheitskritischen Verbrauchers offen ausfällt. 


Die hier gelisteten Fehlerfälle werden über die jeweiligen Komponentenfeh- 
lerbäume im Gesamtfehlerbaum der elektrischen Energieversorgung berück- 
sichtigt. Der Fehlerbaum für den Ausfall der elektrischen Energieversorgung 
für einen bzw. für eine Gruppe von sicherheitsrelevanten Verbrauchern ist in 
Abbildung 6.3 dargestellt. Neben dem Gesamtausfall der elektrischen Ener- 
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Abbildung 6.3: Abstrahierter Fehlerbaum fiir einen Ausfall der klassischen elektrischen Energie- 
versorgung 


gieversorgung gehört zu den besonders kritischen Ereignissen auch der offene 
Ausfall der Batterie und somit des Energiespeichers. Zu einem solchen Szena- 
rio kann es kommen, wenn die Batterie 


e sich am Lebensdauerende befindet, 
e tiefentladen, 

e kurzgeschlossen oder 

e offen ist, 


e oder wenn die Sicherung der Batterie ausgefallen ist. 


Wird ein solcher Fehler frühzeitig erkannt, gibt es in Abhängigkeit von dessen 
Kritikalität verschiedene Möglichkeiten, um wahrscheinlich eintretende nega- 
tive Auswirkungen zu reduzieren oder ganz zu verhindern.” Grundsätzlich ist 
außerdem zu sagen, dass ein Ausfall der Batterie die elektrische Energiever- 
sorgung nicht unmittelbar zum Zeitpunkt des Fehlereintritts gefährdet. Denn 


? In Fällen mit geringer Kritikalität erfolgt eine entsprechende Warnung. In Fällen mit hoher 
Kritikalität, in denen die Weiterfahrt nicht möglich ist, muss das Fahrzeug hingegen festgesetzt, 
d. h., bis auf 0 km/h heruntergebremst werden, bis der sichere Zustand (z. B. Stillstand) erreicht 
ist. 
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der Generator dient sozusagen als Rückfallebene. Er ist so dimensioniert, dass 
im Normalbetrieb auch dann eine hinreichende Menge von Energie zur Ver- 
sorgung der Grundlast bereitgestellt werden kann, wenn es zu einem Ausfall 
der Batterie kommen sollte. Zur Destabilisierung der elektrischen Energiever- 
sorgung kommt es erst dann, wenn zusätzlich zum Ausfall der Batterie ein 
Lastwechsel mit hohen Stromgradienten (di/dt) auftritt, der auch durch den 
Generator nicht abgefangen werden kann und so zu einem signifikanten Span- 
nungseinbruch in der elektrischen Energieversorgung führt.’ 

Auch dann, wenn der Generator ausfällt, ist die elektrische Energieversorgung 
nicht unmittelbar zum Zeitpunkt des Fehlereintritts gefährdet. Zwar nimmt die 
Menge der über den Energiespeicher zur Verfügung stehenden Energie stetig 
ab, wobei die Rate des Absinkens von der Auslastung der elektrischen Ener- 
gieversorgung abhängt. Aufgrund der typischerweise verbauten Energiespei- 
chergrößen (vgl. hierzu Unterkapitel 5.2.1,) kommt es im Fall der gemessenen 
Grundlasten (vgl. hierzu Tabelle 5.1) bei einem Ausfall des Generators aber erst 
nach geraumer Zeit dazu, dass wesentliche Spannungsgrenzen unterschritten 
werden und keine hinreichende Versorgung der Verbraucher mehr sicherge- 
stellt werden kann. Wenn eine gealterte* Batterie zum Einsatz kommt, sinkt 
die Spannung in der elektrischen Energieversorgung bei typischen Grundlas- 
ten wie in Unterkapitel 4.5 diskutiert und in Abbildung 4.10 veranschaulicht 
allerdings erst nach mehreren Minuten unter kritische Spannungswerte (z. B. 
9,8 Volt). Aus den in Abbildung 4.10 dargestellten Verläufen lässt sich auch er- 
kennen, dass die elektrische Energieversorgung bei relativ hohen Belastungen, 
z. B. durch ein gleichzeitiges Lenk- und Bremsmanöver bedingt, über mehrere 
Minuten hinweg bei einer Spannungslage von 9,8 Volt stabil bleibt. Im Gegen- 
satz dazu ist der Ausfall des Energiespeichers kritisch, da der Generator ein 
schwingungsfähiges System ist und durch den Wegfall des Energiespeichers 
keine hohen Stromgradienten mehr bereitgestellt werden können, ohne dass die 
Spannung in der elektrischen Energieversorgung auf einen unzulässig tiefen 
Wert und über eine unzulässig lange Dauer hinweg einbricht. Daher werden 
beide Fehler im Folgenden als kritisch eingestuft: der Fehler „Batterieausfall“ 


3 Solche Ereignisse können z. B. durch gebremste Spurwechsel verursacht werden, die deshalb 
besonders kritisch sind, weil es bei ihnen zu einer Überlagerung der Ströme der Bremsaktoren 
(Pumpe und Ventile) und der elektrischen Lenkung kommen kann, und zwar in ihren jeweiligen 
Maxima. 

4 Es wurde eine gealterte Batterie simuliert, wobei eine Kapazitätsreduktion um ca. 20 Prozent 
und ein Anstieg des Innenwiderstandes um ca. 50 Prozent angenommen wurden. 
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als sofort gefährdend und der Fehler „Ausfall des Generators“ als nicht sofort 
gefahrdend. 

Für das Fehlerhaftwerden des Generators können die folgenden Hauptereig- 
nisse zusammengefasst werden. Es wird angenommen, dass die Batterie unzu- 
lässig entladen wird, wenn 


e die Ausgangsleistung des Generators reduziert ist, 
e der Generator keine Ausgangsleistung bereitstellen kann oder 


e die Sicherung des Generators offen ausgefallen ist. 


Der zugehörige Fehlerbaum für eine klassische elektrische Energieversorgung 
mit reduzierter Leistungsfähigkeit ist in Abbildung 6.4 dargestellt. In Abbil- 


Leistungsfähigkeit 


reduziert 


‘a D 


[ Batterie Batterie | Batterie | Batterie 
Lebensdauerende tiefentladen 


kurzgeschlossen 


| Sicherung 
offen Batterie offen 


Abbildung 6.4: Abstrahierter Fehlerbaum für eine klassische elektrische Energieversorgung mit 
reduzierter Leistungsfähigkeit 


dung 6.5 ist der auf der Grundlage der Komponentenfehlerbäume erstellte 
abstrahierte Fehlerbaum für die Reduktion der verfügbaren Energie darge- 
stellt. Zusammenfassend lässt sich Folgendes festhalten: Grundsätzlich kann 
jede Komponente im Gesamtsystem der elektrischen Energieversorgung feh- 
lerhaft werden und die Zuverlässigkeit der elektrischen Energieversorgung 
negativ beeinflussen. Dementsprechend könnten im Rahmen der Bewertung 
der elektrischen Energieversorgung in Kraftfahrzeugen sehr viele verschiede- 
ne Komponentenfehler und Fehlermechanismen untersucht werden. Die hier 
vorgestellte Methode fokussiert allerdings auf die beiden wesentlichen Kom- 
ponenten der elektrischen Energieversorgung, den Energiespeicher und die 
Energiewandlung, da diese eine zentrale Bedeutung haben. In Bezug auf das 
dritte wesentliche Teilsystem der elektrischen Energieversorgung, die Vernet- 
zung, wird nur die Zuverlässigkeit des Leitungsschutzes in Form einer auto- 
mobilen Schmelzsicherung in die Modellierung einbezogen. Die Zuleitungen, 
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Abbildung 6.5: Abstrahierter Fehlerbaum fiir die Reduktion der verfiigbaren Energie in der klas- 
sischen elektrischen Energieversorgung 


die Splices sowie die Kontakt- und Verteilstellen werden aus den in Kapitel 5 
genannten Griinden in der folgenden Analyse hingegen nicht untersucht. 


6.1.5 Auswertung des Einflusses der Basisereignisse 


Die Auswertung der Wahrscheinlichkeiten fiir die Hauptereignisse der Fehler- 
bäume der elektrischen Energieversorgung wurde nach einer durchschnittli- 
chen Fahrzeugnutzungsdauer von 8000 Betriebsstunden (bzw. ca. 250.000 Ki- 
lometern) durchgeführt. Als Ausfallrate bezüglich der nicht sicherheitsrele- 
vanten Verbraucher infolge eines Kurzschlusses wird zunächst ein Wert von 
1000 FIT angenommen. Nach den in Tabelle 2.1 angegebenen Ausfallraten 
für die verschiedenen Integritätsstufen entsprechen 1000 FIT einem ASIL-A- 
Verbraucher. Der niedrige Wert für die Ausfallrate wurde gewählt, um den 
Einfluss anderer Komponentenfehler deutlicher hervortreten zu lassen und so- 
mit leichter auswerten zu können. Diese Ausfallraten werden in Abschnitt 6.1.6 
variiert, um so die Sensitivität der elektrischen Energieversorgung gegenüber 
dem Fehler „Kurzschluss und damit einhergehender Ausfall der elektrischen 
Energieversorgung infolge eines Fehlers in einem nicht sicherheitsrelevanten 
Verbraucher“ untersuchen zu können. In Abbildung 6.6 sind die Wahrschein- 
lichkeitskurven für das Eintreten der Hauptereignisse „Ausfall der elektri- 
schen Energieversorgung“, „verringerte Leistungsfähigkeit durch den Ausfall 
der Batterie“ und „reduzierte Energiemenge durch den Ausfall des Genera- 
tors“ dargestellt. Wie die Kurvenverläufe zeigen, ist die Exponentialfunktion 
im linearen Bereich. Aus den Verläufen lassen sich die Wahrscheinlichkeiten 
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Abbildung 6.6: Wahrscheinlichkeitsverläufe der Hauptereignisse (a) Ausfall der elektrischen Ener- 
gieversorgung, (b) verringerte Leistungsfähigkeit durch den Ausfall der Batterie 
und (c) reduzierte Energiemenge durch den Ausfall des Generators bis 8000 Be- 
triebsstunden, berechnet bezüglich des Fahrprofils KA 6.1 


für das Eintreten der genannten Hauptereignisse nach 8000 Betriebsstunden 
unmittelbar ablesen. Diese liegen 


e für den Ausfall der elektrischen Energieversorgung bei 0,91 Prozent, 
für das Eintreten reduzierter Leistungsfähigkeit bei 0,75 Prozent und 


e fiir den Zustand der elektrischen Energieversorgung mit einer reduzierten 
Energiemenge bei 11,17 Prozent. 


Wie deutlich wird, ist die Wahrscheinlichkeit eines Zustands der elektrischen 
Energieversorgung mit reduzierter Energiemenge am höchsten. Maßgeblich 
für den Eintritt dieses Fehlerereignisses sind die Fehlerwahrscheinlichkeiten 
des Generators; sie beeinflussen die Gesamtwahrscheinlichkeit für das Eintre- 
ten dieses Zustands wesentlich. 

Die Wahrscheinlichkeiten für den Ausfall der elektrischen Energieversorgung 
oder eine reduzierte Leistungsfähigkeit fallen geringer aus. Die hauptsächliche 
Ursache für eine reduzierte Leistungsfähigkeit sind Batteriefehler. Während 
eines PKW-Lebenszklyus wird die Fahrzeugbatterie regelmäßig ausgetauscht, 
wodurch die Batterie am mittleren Lebensdauerende seltener fehlerhaft ist als 
der Generator. Daher ist auch die Wahrscheinlichkeit für eine reduzierte Leis- 
tungsfähigkeit geringer. 

Die Wahrscheinlichkeit für den Ausfall der elektrischen Energieversorgung 
liegt nach 8000 Betriebsstunden bei 0,91 Prozent. Bezogen auf die typischen 
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Produktionsmengen der jeweiligen Hersteller bedeutet dies, dass mehrere tau- 
send Fahrzeuge im Feld aufgrund dieses Fehlers ausfallen werden. 

Zur Beurteilung des Einflusses der unterschiedlichen Streckenprofile aus Tabel- 
le 6.1 auf die Eintrittswahrscheinlichkeiten der Hauptereignisse sind in Abbil- 
dung 6.7 die Eintrittswahrscheinlichkeiten für die betrachteten Hauptereignisse 
nach 8000 Betriebsstunden dargestellt. Die Variation der Wahrscheinlichkeiten 
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Abbildung 6.7: Wahrscheinlichkeiten der Hauptereignisse (a) Ausfall der elektrischen Energiever- 
sorgung, (b) verringerte Leistungsfähigkeit durch den Ausfall der Batterie und (c) 
reduzierte Energiemenge durch den Ausfall des Generators nach 8000 Betriebs- 
stunden in Abhängigkeit von den verschiedenen Streckenprofilen 


für den Ausfall der elektrischen Energieversorgung in Abhängigkeit von den 
verschiedenen Streckenprofilen ist nur geringfügig ausgeprägt. Das Minimum 
von 0,88 Prozent tritt beim Streckenprofil KB auf, das Maximum von 1 Prozent 
beim Streckenprofil KC. Unter Berücksichtigung des Fehlerbaums aus Abbil- 
dung 6.3 und den in Abbildung 6.8 dargestellten Wahrscheinlichkeiten lässt 
sich die Ursache für die Unterschiede in den Wahrscheinlichkeiten im Wesent- 
lichen auf das Ereignis „Generator, Batterie und Verbraucher kurzgeschlossen 
(h)“ zurückführen. Ebenfalls einen signifikanten Einfluss auf die Gesamtaus- 
fallwahrscheinlichkeit der elektrischen Energieversorgung haben die Fehler der 
Statorwicklung (d). Die Wahrscheinlichkeit für einen Fehler in der Statorwick- 
lung ist größer als die Wahrscheinlichkeiten für andere Fehler. Die Ursache 
hierfür sind die Belastungen der Statorwicklung, die über die verschiedenen 
Streckenprofile hinweg vergleichsweise hoch ist. Die Anzahl der Start-Stopp- 
Zyklen nimmt von KA (0) bis KC (11) stetig zu, was eine jeweils höhere 
Belastung des Generators bedeutet, da die während der Start-Stopp-Zyklen aus 
der Batterie entnommene Energie vom Generator zusätzlich zur Grundlast be- 
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reitgestellt werden muss. Befindet sich der Generator dariiber hinaus in einem 
Betriebspunkt mit geringem Wirkungsgrad, nehmen die Verluste und damit die 
Eigenerwärmungen des Generators und der Wicklungen deutlich zu. So erklärt 
sich die hohe Wahrscheinlichkeit für einen Fehler in der Statorwicklung. 

Die Wahrscheinlichkeiten für das Ereignis „verringerte Leistungsfähigkeit 
durch den Ausfall der Batterie‘ reichen im Minimum von 0,751 Prozent für 
die Streckenprofile Kurzstrecke A (KA) und Langstrecke B (LB) bis hin zum 
Maximum von 0,775 Prozent für das Streckenprofil Kurzstrecke C (KC). Die 
Unterschiede zwischen den einzelnen Wahrscheinlichkeiten sind gering und 
werden in erster Linie durch Fehler der Batterie beeinflusst. Ein Teil der Wahr- 
scheinlichkeiten für Batteriefehler ist bereits in Abbildung 6.8 (b) Batterie 
offen und (f) Batterie kurzgeschlossen dargestellt. Die Wahrscheinlichkeit für 
den Ausfall der Batterie nach 8000 Betriebsstunden setzt sich aus den Wahr- 
scheinlichkeiten für die folgenden Einzelfehler zusammen. Die Batterie fällt 
mit einer Wahrscheinlichkeit von 


e 0,5257 Prozent am Lebensdauerende (EOL), 
e 0,2008 Prozent tiefentladen, 
e 0,0087 Prozent kurzgeschlossen und 


e 0,0087 Prozent offen 


aus. Wie sich zeigt, sind die Unterschiede zwischen den verschiedenen Stre- 
ckenprofilen in Abbildung 6.7 (b) auf die Wahrscheinlichkeit des Eintritts des 
Ereignisses „Ausfall der Batterie Sicherung (i)“ zurückzuführen. Die Wahr- 
scheinlichkeiten für den Ausfall der Sicherungen hängen von den unterschied- 
lich hohen Belastungen der verschiedenen Streckenprofile ab. Zwischen den 
Belastungen und der Fehlerwahrscheinlichkeit der Sicherung bestehen dabei 
folgende Zusammenhänge: Der Erwartungswert des Sicherungsstroms und 
die mittlere Temperatur der Streckenprofile korrelieren stark positiv mit der 
Fehlerwahrscheinlichkeit (am Beispiel der Sicherung der 12V-Batterie aus- 
gedrückt korrelieren die gemessenen Änderungen der Temperatur mit einem 
Wert von Rr = 0,86 Pr = 0,01 mit den Veränderungen der Wahrscheinlich- 
keiten für den Ausfall der elektrischen Energieversorgung; für die Korrelation 
zwischen Änderungen im Strom und Veränderungen der Wahrscheinlichkeit 
für den Ausfall der elektrischen Energieversorgung beträgt der Wert Rz = 0, 81 
Pr = 0,03.). 
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Abbildung 6.8: Wahrscheinlichkeiten der Basisereignisse nach 8000 Betriebsstunden über alle 
Streckenprofile. Die dargestellten Fehler sind: (a) Generator offen, (b) Batterie of- 
fen, (c) Generator und Batterie offen, (d) Generator Statorwicklung kurzgeschlos- 
sen, (e) Generator Gleichrichtung kurzgeschlossen, (f) Batterie kurzgeschlossen, 
(g) Verbraucher V kurzgeschlossen, (h) Generator, Batterie und Verbraucher kurz- 
geschlossen, (i) Sicherung Batterie offen, (j) Sicherung Batterie und Generator of- 
fen, (k) Sicherung Verbraucher Vs offen und (1) Sicherungen Generator, Batterie 
und Verbraucher Vs offen 
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In Abbildung 6.7 (c) sind auf der Grundlage des Fehlerbaums aus Abbildung 6.5 
die Wahrscheinlichkeiten für das Eintreten des Zustandes „reduzierte Energie- 
menge (Versorgung aus dem Energiespeicher) in der elektrischen Energie- 
versorgung“ dargestellt. Hierbei variieren die Wahrscheinlichkeiten zwischen 
einem Minimum von 9,78 Prozent für das Streckenprofil LB und einem Ma- 
ximum von 31,5 Prozent für das Streckenprofil Langstrecke A (LA). In den 
Abbildungen 6.8 (a) und 6.9 sind die Wahrscheinlichkeiten für das Eintre- 
ten der verschiedenen Generatorfehler in Abhängigkeit von den verschiedenen 
Streckenprofilen dargestellt. Die Unterschiede in den Wahrscheinlichkeiten für 


Wahrscheinlichkeit —> 
Wahrscheinlichkeit —> 
Wahrscheinlichkeit — 


Abbildung 6.9: Wahrscheinlichkeiten für das Eintreten der verschiedenen Generatorfehler in Ab- 
hängigkeit von den verschiedenen Streckenprofilen; in (a) Wahrscheinlichkeit einer 
Leistungsreduktion um 3, in (b) Wahrscheinlichkeit einer Leistungsreduktion um 
2V3 und in (c) die Wahrscheinlichkeit eines Fehlers in der Generatorsicherung 


den Ausfall des Generators sind im Wesentlichen auf die beiden Fehlerursa- 
chen ,,Leistungsreduktion um y3“ und „keine Ausgangsleistung“ zurückzu- 
führen. Hierbei korrelieren die Belastungen der Stator- und Läuferwicklung 
sowie deren Ausfallwahrscheinlichkeiten stark positiv mit den Fehlerwahr- 
scheinlichkeiten über die verschiedenen Streckenprofile hinweg (Ausfallrate 
Statorwicklung zu Wahrscheinlichkeit Rs = 0,986 Ps = 0,00, Ausfallrate 
Läuferwicklung zu Wahrscheinlichkeit Rz, = 0,89 Pz = 0,007). 
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6.1.6 Sensitivität der elektrischen Energieversorgung 
gegenüber Kurzschlüssen in nicht 
sicherheitsrelevanten Verbrauchern 


Kurzschlüsse in nicht sicherheitsrelevanten Verbrauchern können zu einem 
Ausfall der elektrischen Energieversorgung führen und stellen somit ein er- 
hebliches Risiko dar. In klassischen Architekturen für elektrische Energiever- 
sorgungen werden Verbraucher ohne Sicherheitsziel für den Fall eines Kurz- 
schlusses nicht hinsichtlich deren Rückwirkung auf die Spannungsstabilität 
abgesichert. Daher ist die Rückwirkung eines Kurzschlusses in einem nicht si- 
cherheitsrelevanten Verbraucher ein kurzzeitiger Ausfall der elektrischen Ener- 
gieversorgung. 

In der bisherigen Diskussion wurde fiir die Ausfallrate von nicht sicherheits- 
relevanten Verbrauchern fiir alle Streckenprofile ein Wert von 1000 FIT an- 
genommen. In Wirklichkeit variieren die Ausfallraten von Verbrauchern ohne 
Sicherheitsziel je nach Anzahl und Art der Verbraucher jedoch deutlich. In 
Abbildung 6.10 ist dargestellt, wie Veränderungen der Ausfallraten von nicht 
sicherheitsrelevanten Verbrauchern die Wahrscheinlichkeiten fiir den Ausfall 
der elektrischen Energieversorgung bezogen auf die Streckenart Kurzstrecke 
beeinflussen. Die dargestellten Wahrscheinlichkeiten sind normiert auf die 
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Ausfallrate nicht sicherheitsrel. Verbraucher A/FIT — .10* 
Abbildung 6.10: Normierte Wahrscheinlichkeiten für das Eintreten des Ereignisses „Ausfall der 


elektrischen Energieversorgung“ in Abhängigkeit von der Ausfallrate nicht si- 
cherheitsrelevanter Verbraucher V 


Ausfallwahrscheinlichkeiten der elektrischen Energieversorgung bei den Be- 
lastungen der Kurzstrecke KA als Eingangsdaten und mit einem Wert der Aus- 
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fallraten von nicht sicherheitsrelevanten Verbrauchern aufgrund eines Kurz- 
schlusses von 1000 FIT. Der Kurvenverlauf entspricht fiir kleine Ausfallraten 
einer ganzrationalen Funktion ersten Grades, welche in dem hier dargestellten 
Verlauf angenähert werden kann mit 


Pa _4 
— ——— = 8,44: 10° -Ansy +0,17. 6.1 
Pa (10347!) n en 
Für Ausfallraten > 1-104 FIT entspricht die dargestellte Regression nicht mehr 
dem Kurvenverlauf und der Fehler der Approximation nimmt zu. Der Verlauf 
für Ausfallraten > 1 - 10* FIT kann mit einer ganzrationalen Funktion zweiten 
Grades angenähert werden. Für die Näherung gilt 


Pa -9 42 =4 
— = -22.4.107-42 y + 8,4-10% - Ansy +0,28. 6.2 
Pı (1084-7!) nsV Vv ( ) 


Auf der Grundlage des dargestellten Verlaufs der normierten Ausfallwahr- 
scheinlichkeit der elektrischen Energieversorgung lässt sich anhand der Glei- 
chungen 6.1 und 6.2 ableiten, dass die Wahrscheinlichkeit für den Ausfall der 
elektrischen Energieversorgung signifikant von den Wahrscheinlichkeiten für 
den Ausfall eines Verbrauchers infolge eines Kurzschlusses abhängt. 


6.1.7 Sensitivität der elektrischen Energieversorgung 
gegenüber Batteriefehlern 


In der klassischen elektrischen Energieversorgung ist die Batterie eine der we- 
sentlichen Komponenten und hat einen dementsprechend großen Einfluss auf 
die Zuverlässigkeit der elektrischen Energieversorgung. Um die Sensitivität 
klassischer elektrischen Energieversorgungsarchitekturen gegenüber Batterie- 
fehlern zu bestimmen, sind in Abbildung 6.11 die normierten Wahrschein- 
lichkeiten für einen Ausfall der elektrischen Energieversorgung bezogen auf 
die Streckenart Kurzstrecke gegenüber der Variation der folgenden Arten von 
Batteriefehlern dargestellt: Die Batterie ist 


e am Lebensdauerende (EOL) angelangt, 


e tiefentladen, 
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e kurzgeschlossen oder 


e offen. 
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Abbildung 6.11: Sensitivität der elektrischen Energieversorgung gegenüber den typischen Bat- 
teriefehlern „am Lebensdauerende (EOL) angelangt“, „tiefentladen“, „kurzge- 
schlossen“ und „offen“ 


À 


Die Batteriefehler „am Lebensdauerende (EOL) angelangt“, ,,tiefentladen‘ 
und „offen“ korrelieren nicht mit der normierten Wahrscheinlichkeit für einen 
Ausfall der elektrischen Energieversorgung. Bezüglich des Fehlers „Batterie 
kurzgeschlossen“ gibt es hingegen eine stark positive Korrelation. Der Kur- 
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venverlauf entspricht einer ganzrationalen Funktion ersten Grades und kann 
angenähert werden mit 


— A 3 08,1410 Ay, 4 10008: (6.3) 
Pa (10347!) x 

Für das in Unterkapitel 5.2 vorgestellte Modell einer Blei-Säure-Batterie ist 
der Fehleranteil des Batteriefehlers „Kurzschluss“ gegenüber den weiteren Feh- 
leranteilen gering. Wie aus Gleichung 6.3 ersichtlich wird, nimmt der Einfluss 
auf die Wahrscheinlichkeit eines Ausfalls der elektrischen Energieversorgung 
mit zunehmendem Fehleranteil des Kurzschlusses FA B, deutlich zu. 
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6.1.8 Sensitivität der elektrischen Energieversorgung 
gegenüber Generatorfehlern 


Die Generatorfehler „offen“ und „kurzgeschlossen“ sind im Wesentlichen auf 
Fehler in der Statorwicklung und in der Gleichrichtung zurückzuführen. Zur 
Untersuchung, wie Variationen der Verteilungen der Fehler im Generator die 
Wahrscheinlichkeit eines Ausfalls der elektrischen Energieversorgung beein- 
flussen, sind in den Abbildungen 6.12 und 6.13 die Wahrscheinlichkeiten für 
einen Ausfall der elektrischen Energieversorgung in Abhängigkeit von der 
Fehlerverteilung der Statorwicklung dargestellt. Für das hier entwickelte Mo- 
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Abbildung 6.12: Sensitivität der elektrischen Energieversorgung gegenüber den Generatorfehlern 
„Statorwicklung offen“ und „Statorwicklung kurzgeschlossen“ 


dell des Generators wurde die Fehlerverteilung der Statorwicklung initial auf 
50 Prozent „Statorwicklung kurzgeschlossen“ und 50 Prozent „Statorwicklung 
offen“ festgelegt. Bezüglich der hier durchgeführten Variation der Verteilung 
zeigt sich eine stark positive Korrelation des Fehlers „Kurzschluss der Sta- 
torwicklung“ mit der normierten Wahrscheinlichkeit für einen Ausfall der 
elektrischen Energieversorgung. Im Vergleich zu den Fehlern „Kurzschluss 
nicht sicherheitsrelevanter Verbraucher“ und „Kurzschluss der Batterie“ hat 
der Fehler „Statorwicklung kurzgeschlossen“ einen geringeren Einfluss auf 
die Wahrscheinlichkeit des Ausfalls der elektrischen Energieversorgung. Die 
lineare Regression der normierten Wahrscheinlichkeit für einen Ausfall der 
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elektrischen Energieversorgung zur Verteilung des Fehlers „Statorwicklung 
kurzgeschlossen“ lässt sich angeben zu 


Pa 


—__*___ = §, 89. 1076. FAgs_ +0, 9997. 
Pa (103h-!) Or 


(6.4) 


Hier repräsentiert FAgs, den Anteil des Kurzschlussfehlers der Statorwick- 
lung am Gesamtfehler der Statorwicklung des Generators. In Abbildung 6.13 
ist die Variation der Fehlerverteilung der Gleichrichterdioden dargestellt. Wie 
in (b) deutlich wird, ist die normierte Wahrscheinlichkeit für einen Ausfall der 
elektrischen Energieversorgung stark mit dem Ausfall der elektrischen Ener- 
gieversorgung korreliert. Die Korrelationskoeffizienten der Fehlerfälle „Diode 
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Abbildung 6.13: Sensitivität der elektrischen Energieversorgung gegenüber den Generatorfehlern 
„Gleichrichterdiode offen“, „Gleichrichterdiode kurzgeschlossen“ und „Gleich- 
richterdiode gealtert“ 


offen“ in (a) und „Diode gealtert“ in (c) weisen auf eine schwache negative 
Korrelation hin; jedoch ist ein solcher Zusammenhang aufgrund des stark posi- 
tiven Zusammenhangs zwischen dem Diodenfehler „kurzgeschlossen“ und der 
vorliegenden Verteilung auszuschließen. Die Regression ersten Grades zur nor- 
mierten Wahrscheinlichkeit eines Ausfalls der elektrischen Energieversorgung 
gegenüber der Fehlerverteilung des Fehlers „Kurzschluss Gleichrichterdiode“ 
lässt sich angeben zu 


Pa 


P4 (103h-!) we 


=1,54:10°- FAcc, + 0,894. 
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Hier repräsentiert F AGG, den Anteil des Kurzschlussfehlers der Gleichrich- 
tung am Gesamtfehler der Gleichrichtung des Generators. 


6.1.9 Zusammenfassung Zuverlassigkeit der klassischen 
elektrischen Energieversorgung 


Im vorangegangenen Unterkapitel wurde auf der Grundlage der in Unterkapitel 
3.2 beschriebenen Methode die Zuverlässigkeit einer klassischen Architektur 
zur elektrischen Energieversorgung von Kraftfahrzeugen untersucht. Die Er- 
gebnisse basieren auf den im Rahmen dieser Arbeit entwickelten Modellen 
und den bei deren Entwicklung getroffenen Annahmen. Eine Vergleichbarkeit 
mit Zuverlässigkeitskenngrößen, die im Zuge der Serienentwicklung gewon- 
nen wurden, ist dabei nur bedingt gegeben, da die in dieser Arbeit genutzten 
Daten zum einen aus recherchierten Quellen und zum anderen aus eigenen 
Felduntersuchungen stammen, sodass die hier erstellten Modelle mit einer ent- 
sprechenden Ungenauigkeit behaftet sind. Zusätzlich ist anzumerken, dass die 
Parameter der angegebenen Regressionsgeraden nur dann gültig sind, wenn die 
Fehlerverteilungen und die Wahrscheinlichkeiten der Basisfehler als konstant 
angenommen werden. 

Die bisher vorgestellten Ergebnisse zeigen, dass die untersuchten Streckenpro- 
file bzw. die jeweils auftretenden Belastungen einen nicht zu vernachlässigen- 
den Einfluss auf die Zuverlässigkeit einer klassischen elektrischen Energie- 
versorgung haben. Des Weiteren konnte durch die Veränderung verschiedener 
Fehlerverteilungen nachgewiesen werden, dass Kurzschlüsse in Energiequellen 
bzw. nicht sicherheitsrelevanten Verbrauchern mit Ausfällen der elektrischen 
Energieversorgung korrelieren. Somit lässt sich sagen, dass in klassischen elek- 
trischen Energieversorgungen vor allem die Fehlerart Kurzschluss durch die 
daraus resultierende Unterversorgung sicherheitsrelevanter Verbraucher ein 
enormes Risiko für die elektrische Energieversorgung darstellt. Im Folgen- 
den wird analysiert, welchen Einfluss auf die Zuverlässigkeit der elektrischen 
Energieversorgung die Einführung einer Architektur mit einer zweiten Span- 
nungsebene und einem Gleichspannungswandler hat. 
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6.2 Zuverlässigkeitsbewertung von elektrischen 
Energieversorgungsarchitekturen mit zwei 
Spannungsebenen und 
Gleichspannungswandler 


In den folgenden Abschnitten wird die Architektur einer elektrischen Energie- 
versorgung mit zwei Spannungsebenen und einem Gleichspannungswandler 
analysiert. Zunächst werden die Architektur und deren Komponenten erläu- 
tert. Darauffolgend werden die bei der Zuverlässigkeitsbewertung zu berück- 
sichtigenden Fehlerfälle beschrieben und basierend darauf die Fehlerbäume 
für wesentliche Hauptereignisse diskutiert. Anschließend werden die Ergeb- 
nisse ausgewertet und mit den Resultaten der Analyse klassischer elektrischen 
Energieversorgungsarchitekturen verglichen. Das Unterkapitel schließt mit der 
Zusammenfassung der gewonnenen Erkenntnisse. 


6.2.1 Definition der Architektur und Auswahl der 
Komponentenmodelle 


Die im Folgenden untersuchte Architektur mit zwei Spannungsebenen und ei- 
nem Gleichspannungswandler basiert auf den in den Unterkapiteln 5.2, 5.3 
und 5.4 vorgestellten Modellen. Zusätzlich wird auf der Grundlage der Ar- 
beit [113] für die bei diesen Architekturen neben der 12V-Spannungsebene 
zusätzlich vorhandene 48V-Spannungsebene ein Zuverlässigkeitsmodell für 
einen Lithium-Ionen-Pufferspeicher eingeführt und in die Auswertung mitein- 
bezogen. 

Eine elektrische Energieversorgung mit zwei Spannungsebenen kann in unter- 
schiedlichen Varianten ausgeführt werden. Unterscheiden kann sich diese Art 
der Architektur bezüglich 


e der Kapazität und der Technologie der Energiespeicher, 
e des Einspeisepunktes des Generators und 


e der Leistungsfähigkeit des Gleichspannungswandlers. 
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Die Größe und Kapazität der Energiespeicher auf beiden Spannungsebenen ist 
in Abhängigkeit von der Charakteristik und Anzahl der Verbraucher auf der je- 
weiligen Spannungsebene auszulegen. Gegenwärtig werden in Kraftfahrzeugen 
sicherheitsrelevante Systeme wie das Lenk- und Bremssystem sowie ein Groß- 
teil der leistungsintensiven Verbraucher wie z. B. die Front- und Heckscheiben- 
sowie die Sitzheizungen über die 12V-Spannungsebene versorgt. Dementspre- 
chend wurde für die folgenden Berechnungen als Energiespeicher auf der 
12V-Spannungsebene eine 68Ah-Blei-Säure-Batterie gewählt. 

Ob der Generator in die 12V- oder in die 48V-Spannungsebene einspeist, hängt 
von den jeweiligen kosten- und leistungsspezifischen Anforderungen auf Ar- 
chitekturebene ab. Die 12V-Spannungsebene kann über einen 12V-Generator 
verfügen. In der hier untersuchten Architektur wird allerdings ein 48 V-Booster- 
Generator berücksichtigt, und zwar aufgrund seiner höheren Effizienz und der 
zusätzlichen Möglichkeit, ihn als Antriebsunterstützung zu nutzen (vgl. Abbil- 
dung 6.14). Das hier verwendete Modell unterscheidet sich von dem in Unterka- 
pitel 5.3 vorgestellten Modell hinsichtlich der Modellierung der Gleichrichtung 
und des Aufbaus der Wicklungen. Anders als bei klassischen Generatoren, die 
mit einer passiven Gleichrichtung mittels Dioden ausgestattet sind, wird in 
48V-Generatoren eine aktive Gleichrichtung mit Leistungshalbleiter genutzt. 
Darüber hinaus werden im Zuge der folgenden Untersuchungen sowohl auf der 
12V- als auch auf der 48 V-Spannungsebene nicht sicherheitsrelevante Verbrau- 
cher berücksichtigt. Auf der 12V-Spannungsebene wird stellvertretend nur ein 
sicherheitsrelevanter Verbraucher Vs berücksichtigt, da sich die Ergebnisse 
auf alle anderen sicherheitsrelevanten Verbraucher übertragen lassen. Zusätz- 
lich verfügt in dieser Architektur jede physikalische Vernetzung der Verbrau- 
cher über mindestens ein Leitungsschutzelement in Form einer automobilen 
Schmelzsicherung. Je nach physikalischem Aufbau und den Verlegewegen der 
Zuleitungen im jeweiligen Kraftfahrzeug ist eine Absicherung der Leitungen 
des Gleichspannungswandlers (GSW) erforderlich. In der hier dargestellten 
Architektur werden auf beiden Zuleitungen Schmelzsicherungen eingeführt. 
Grundsätzlich muss allerdings die Frage beantwortet werden, inwieweit die 
Leitung gefährdet ist, kurzgeschlossen zu werden. Kann nicht ausgeschlossen 
werden, dass es z. B. durch externe Beschädigungen (Marderbisse) oder interne 
Beschädigungen (Klemmen oder Quetschen durch Karosserieverformungen) 
zu einem Kurzschluss der Zuleitung kommt, ist zu prüfen, ob die Absiche- 
rung der Energiespeicher als Quellen hinreichend gering dimensioniert ist. Im 
Folgenden wird angenommen, dass die Zuleitung der Batterie so hoch abge- 
sichert ist, dass ein Kurzschlussfehler in der GSW-Zuleitung nicht durch die 
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Abbildung 6.14: Architektur einer elektrischen Energieversorgung mit 12V- und 48V- 
Spannungsebene 


Schmelzsicherung der Batteriezuleitung abgesichert ist. Daher wird sowohl 
auf der Hochvolt (HV)- als auch auf der Niedervolt (LV)-Seite des GSWs eine 
Schmelzsicherung zum Schutz der Zuleitungen vor Ubertemperatur benötigt. 


6.2.2 Fehlerbäume für eine elektrische 
Energieversorgungsarchitektur mit zwei 
Spannungsebenen 


Wie im Fall der oben untersuchten klassischen Architektur ist auch mit Blick 
auf die hier untersuchte Architektur mit zwei Spannungsebenen von Interesse, 
mit welcher Wahrscheinlichkeit die elektrische Energieversorgung 


e ausfällt, 
e eine reduzierte Leistungsfähigkeit aufweist oder 


e eine verminderte Energiemenge bereitstellen kann. 


Grundsätzlich ließe sich mit dem hier entwickelten Modell sowohl die 12V- 
als auch die 48V-Spannungsebene analysieren. Die folgende Untersuchung 
der Zuverlässigkeit der elektrischen Energieversorgung bezieht sich jedoch 
ausschließlich auf den Ausfall der 12V-Spannungsebene, da auf dieser die 
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sicherheitsrelevanten Verbraucher positioniert sind. Ein Ausfall der elektri- 
schen Energieversorgung eines sicherheitsrelevanten Verbrauchers auf der 
12V-Spannungsebene tritt bezüglich der in Abbildung 6.14 dargestellten Ar- 
chitektur dann ein, wenn 


e die 48V-Spannungsebene und die 12V-Batterie ausfallen, 
e die 12V-Batterie kurzgeschlossen ausfällt, 


e ein entsprechend hochabgesicherter Verbraucher Vı2 ohne Sicherheits- 
ziel kurzgeschlossen ausfällt, 


e die Sicherungen der 12V-Batterie und des GSWs offen ausfallen oder 


e die Sicherung des sicherheitskritischen Verbrauchers fehlerhaft offen 
ausfällt. 


Die genannten Fehlerfälle werden über die einzelnen Komponentenfehler- 
bäume im Gesamtfehlerbaum der elektrischen Energieversorgung berücksich- 
tigt. Der Fehlerbaum für den Ausfall der elektrischen Energieversorgung mit 
zwei Spannungsebenen für einen bzw. eine Gruppe von sicherheitsrelevanten 
Verbrauchern ist in Abbildung 6.15 dargestellt. Es wird angenommen, dass 
der 48V-Energiespeicher hinreichend groß dimensioniert ist, sodass die 12V- 
Spannungsebene auch nach einem offenen Ausfall des Generators versorgt 
werden kann. Die elektrische Energieversorgung für die 12V-Spannungsebene 
ist unterbrochen, wenn 


e der 48V-Generator offen und der 48V-Energiespeicher offen bzw. kurz- 
geschlossen ausfallen oder 


e der GSW offen bzw. kurzgeschlossen fehlerhaft wird. 


Bezüglich des 48V-Energiespeichers wird angenommen, dass dessen Aufbau 
ein Trennelement> zwischen den Zellen und dem Batteriepol enthält. Da Kurz- 
schlüsse innerhalb des Energiespeichers zum Öffnen dieses Trennelements 
führen, kommt es infolge eines Kurzschlusses des 48V-Energiespeichers zu 


5 In 48V-Lithium-Ionen-Energiespeichern werden zum Schutz vor Uberladung Trennschalter 
eingesetzt. Der Trennschalter ist ein wesentliches Teilsystem des Batteriemanagementsystems 
(BMS), welches zur Überwachung und zum Schutz der Lithium-Ionen-Zellen eingesetzt wird. 


241 


Anwendung und Auswertung der Methode 


Ausfall Vg 


Energieversorgung 


Ausf 
12V N 48V U GSW 


Ausfall 
Alle Sicherungen 


Kurzschluss 
Batterie U Verbraucher V 


Batterie 


Batterie Verbraucher 


kurzg. 


Sicherung 
Verbraucher V g 


offen kurzg. 


48V D (48V 
Generator | Verbraucher 
kurzg. kurzg. 


offen 


Sicherung 


Batterie 


offen 


[ 


Sicherung 
GSW 
offen 


Sicherung 
GSW 
offen 


Sicherung 


Batterie Batterie 


kurzg. 


Sicherung 


offen Generator Batterie 


offen offen 


Abbildung 6.15: Abstrahierter Fehlerbaum fiir den Ausfall einer elektrischen Energieversorgung mit zwei Spannungsebenen 
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einem offenen Ausfall der 48 V-Batterie. 

Das Modell des GS Ws aus Unterkapitel 5.4 wurde auf der Grundlage der Schal- 
tung aus Abbildung 5.37 entwickelt. Hier sind zwischen den Anbindungen der 
48V- und der 12V-Spannungsebenen an den GSW ebenfalls Trennschalter in- 
tegriert, die im Fall eines Kurzschlusses einer Leistungsstufe den GSW von der 
jeweiligen Spannungsebene trennen. Daher führt ein Kurzschluss des GSWs zu 
dessen offenem Ausfall. Die 48V-Spannungsebene fällt auch dann aus, wenn 
der 48V-Generator oder ein leistungsfähiger 48V-Verbraucher im Kurzschluss 
ausfällt. 

Da GSWs deutlich dynamischer sind als Generatoren, führt ein offener Ausfall 
der 12V-Batterie nicht unmittelbar zu einem Ausfall der elektrischen Energie- 
versorgung. Anders als in klassischen Architekturen ist ein offener Ausfall der 
12V-Batterie in Architekturen der hier betrachteten Art also weniger kritisch. 
Grundsätzlich gilt aber, dass gegenwärtig eingesetzte GSWs nur in begrenztem 
Maße hohe Stromgradienten bereitstellen und auf diese Weise hohe Lastände- 
rungen abfangen können. Für die folgende Analyse wird angenommen, dass 
in solchen Fällen dennoch ein Großteil der 12V-Verbraucher mit einer hin- 
reichend großen Menge an Energie versorgt werden kann, sodass es nicht 
zu einem Ausfall der elektrischen Energieversorgung durch Unterspannung 
kommt. Die elektrische Energieversorgung für die 12V-Spannungsebene ist in 
der Leistungsfähigkeit eingeschränkt, wenn die 12V-Batterie 


e am Lebensdauerende (EOL) angelangt, 
e tiefentladen, 

e kurzgeschlossen oder 

e offen ist, 


e oder wenn die Sicherung der Batterie ausgefallen ist. 


Der zugehörige Fehlerbaum unterscheidet sich nicht von dem der klassischen 
elektrischen Energieversorgung für die reduzierte Leistungsfähigkeit (vgl. Ab- 
bildung 6.4.) 

Aufgrund der höheren Dynamik von GSWs ist die Kritikalität eines Ausfalls 
der elektrischen Energieversorgung bei reduzierter Leistungsfähigkeit geringer 
als bei einer klassischen Architektur. Der Grund ist, dass auch im Falle eines 
Ausfalls der 12V-Batterie auf der 48V-Spannungsebene weiterhin ein Ener- 
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giespeicher vorhanden ist, sodass höhere Lastwechsel als mit einem Generator 
realisiert werden können. Dennoch wird im Folgenden davon ausgegangen, 
dass der Verlust der 12V-Batterie einen kritischen Versorgungszustand dar- 
stellt. 

In klassischen elektrischen Energieversorgungsarchitekturen ist ein Ausfall des 
Generators weniger kritisch, da der 12V-Energiespeicher sukzessive entladen 
wird und die elektrische Energieversorgung durch die verbleibende Energie 
noch mehrere Minuten lang aufrechterhalten werden kann (vgl. Unterkapi- 
tel 4.5, Abbildung 4.10). In Architekturen mit zwei Spannungsebenen und 
zwei Energiespeichern führt der Ausfall des Generators ebenfalls zu einer suk- 
zessiven Abnahme der gespeicherten Energie und somit zu einer Reduktion 
der Versorgungsspannung. Je nach Größe der Energiespeicher steht in diesen 
Architekturen allerdings mehr Energie zur Verfügung, wodurch die Spannung 
auf der 12V-Versorgungsebene deutlich länger stabilisiert werden kann als in 
einer klassischen Architektur. Ein Ausfall des Generators ist daher als kritisch, 
jedoch nicht als gefährdend einzustufen. Für die in Abbildung 6.14 dargestellte 
Architektur ist die Energiemenge für die 12V-Spannungsebene reduziert, wenn 


e die Ausgangsleistung des Generators reduziert ist, 
e der Generator keine Ausgangsleistung bereitstellen kann oder 


e die Sicherung des Generators offen ausgefallen ist. 


Der GSW koppelt die beiden Spannungsebenen miteinander und versorgt im 
Normalbetrieb die 12V-Spannungsebene. Diese kann nicht weiter versorgt 
werden, wenn 


e es zu einer Leistungsreduktion im GSW kommt, 


der GSW kurzgeschlossen oder 


offen ausfällt, 


oder wenn eine der Leitungsabsicherungen in den GSW-Zuleitungen 
ausfallt. 


Dariiber hinaus ist davon auszugehen, dass bei einem Ausfall des 48V- 
Energiespeichers die 48V-Spannungsebene instabil wird und die Versorgung, 
trotz aktiven Generators, nur eingeschränkt realisiert werden kann. Daher 
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werden fiir den Zustand der reduzierten Energiemenge auch die Fehler des 
48V-Energiespeichers berücksichtigt. Der 48V-Energiespeicher wird als aus- 
gefallen eingestuft, wenn dieser 


e mit einer Leistungsreduktion (BMS-Eingriff), 
e kurzgeschlossen oder 
e offen ausfällt, 


e oder wenn dessen Sicherung offen ausgefallen ist. 


In Abbildung 6.16 ist der Fehlerbaum für das Ereignis „reduzierte Energie- 
menge“ bezüglich einer Architektur mit zwei Spannungsebenen dargestellt. In 
den beiden folgenden Abschnitten werden die berechneten Wahrscheinlichkei- 
ten für den Eintritt der hier betrachteten Fehlerzustände ausgewertet. Dabei 
wird, wie bei der klassischen Architektur, das Teilsystem Vernetzung nur in 
Form der Schmelzsicherung berücksichtigt. Aufgrund dieser Betrachtungs- 
grenze werden die Zuleitungen, Splices, Steckkontakte und Verteilstellen nicht 
mit in die Untersuchung eingebunden. 
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6.2.3 Auswertung des Einflusses der Basisereignisse 


In der folgenden Untersuchungen werden die Wahrscheinlichkeiten fiir das Ein- 
treten eines der drei Hauptereignisse nach 8000 Betriebsstunden ausgewertet. 
Die Ausfallrate nicht sicherheitsrelevanter Verbraucher auf der 12V- und 48V- 
Spannungsebene infolge eines Kurzschlusses wird dabei zunächst mit jeweils 
1000 FIT angenommen und in Abschnitt 6.2.4 variiert. In Abbildung 6.17 sind 
die Wahrscheinlichkeitskurven für das Eintreten der Hauptereignisse in der 
oben analysierten klassischen Architektur und der hier betrachteten Architek- 
tur mit zwei Spannungsebenen dargestellt. Wie bei der obigen Betrachtung der 
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Abbildung 6.17: Wahrscheinlichkeitsverläufe der Hauptereignisse (a) Ausfall der elektrischen 
Energieversorgung, (b) verringerte Leistungsfähigkeit durch den Ausfall der Bat- 
terie und (c) reduzierte Energiemenge durch den Ausfall des Generators bis 
8000 Betriebsstunden in Bezug auf eine Architektur mit zwei Spannungsebenen, 
berechnet auf der Basis der Eingangsparameter der Kurzstrecke KA 


klassischen Architektur bewegt sich der Kurvenverlauf der Exponentialfunkti- 
on für den Ausfall der elektrischen 12V-Energieversorgung und für den Aus- 
fall mit verringerter Leistungsfähigkeit auch bezüglich der hier untersuchten 
Architektur mit zwei Spannungsebenen im linearen Bereich. Für die Wahr- 
scheinlichkeit eines Ausfalls der elektrischen Energieversorgung aufgrund re- 
duzierter Energie ist bezüglich der Architektur mit zwei Spannungsebenen ein 
exponentieller Kurvenverlauf zu erkennen. Darüber hinaus wird deutlich, dass 
in Architekturen mit zwei Spannungsebenen eine geringere Wahrscheinlichkeit 
für einen Ausfall der elektrischen 12V-Energieversorgung besteht. 

Da die Fehlerursachen für eine verringerte Leistungsfähigkeit der elektrischen 
Energieversorgung in beiden Architekturen identisch sind und die Belastung 
der 12V-Blei-Säure-Batterie im hier vorgestellten Zuverlässigkeitsmodell nicht 


247 


Anwendung und Auswertung der Methode 


beriicksichtigt wird, unterscheiden sich auch die entsprechenden Kurven nicht 
voneinander. 

Ein Ausfall der elektrischen Energieversorgung infolge einer reduzierten Men- 
ge an der zur Verfiigung gestellten Energie ist in einer Architektur mit zwei 
Spannungsebenen deutlich wahrscheinlicher als in klassischen Architekturen. 
Dies ist auf die Fehler des Generators zurückzuführen, vor allem aber auf die 
laut dem hier verwendeten Zuverlässigkeitsmodell hohe Ausfallwahrschein- 
lichkeit der Lithium-Ionen-Batterie. In diesem Fall werden für den Kurzschluss 
der Lithium-Ionen-Batterie die Fehler der inhärenten Kontakte und des Sepa- 
rators berücksichtigt. Beide Fehler führen zu einer hohen Wahrscheinlichkeit 
für den Eintritt des Ereignisses „Kurzschluss durch einen Fehler am Ende der 
Lebensdauer“ von ca. 19 Prozent. 

Aus den dargestellten Kurven lassen sich die Wahrscheinlichkeiten des Eintre- 
tens der folgenden Fälle bezüglich der Architektur mit zwei Spannungsebenen 
nach 8000 Betriebsstunden angeben. Diese sind für 


e den Ausfall der elektrischen Energieversorgung 0,82 Prozent, 
e das Eintreten einer verringerten Leistungsfähigkeit 0,75 Prozent und 


e den Zustand einer reduzierten Energiemenge 25,46 Prozent. 


In Abbildung 6.18 ist für beide Architekturen dargestellt, welchen Einfluss die 
unterschiedlichen Streckenarten aus Tabelle 6.1 auf die Wahrscheinlichkeit des 
Eintretens der untersuchten Zustände nach 8000 Betriebsstunden haben. Für 
den Ausfall der elektrischen Energieversorgung istin (a) zu erkennen, dass der 
Einfluss der Belastungen durch die unterschiedlichen Fahrprofile im Vergleich 
zur klassischen Architektur hier geringer ausfällt. Dies ist im Wesentlichen 
darauf zurückzuführen, dass ein Kurzschluss des Generators durch den GSW 
von der 12V-Spannungsebene isoliert wird. Darüber hinaus ist die Verlustleis- 
tung des 48V-Generators bei gleicher Ausgangsleistung aufgrund der höheren 
Spannungslage geringer. Die Wicklungsverluste der Statorwicklung nehmen 
ebenfalls deutlich ab (vgl. Gleichung 5.19). Mit der Abnahme der Verlustleis- 
tung nehmen auch die Wahrscheinlichkeiten dafür ab, dass die oben genannten 
Fehler im Generator auftreten. In Abbildung 6.19 sind diesbezüglich in (a), (f) 
und (g) die Fehlerwahrscheinlichkeiten des Generators für beide Architekturen 
dargestellt. Wie zu erkennen ist, wurde die Wahrscheinlichkeit für den Eintritt 
des Ereignisses „Kurzschluss des Generators“ am deutlichsten reduziert. 

Die Wahrscheinlichkeiten für den Ausfall der elektrischen Energieversorgung 
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Abbildung 6.18: Wahrscheinlichkeiten für das Eintreten der Hauptereignisse (a) Ausfall der elek- 
trischen Energieversorgung, (b) verringerte Leistungsfähigkeit durch den Ausfall 
der Batterie und (c) reduzierte Energiemenge durch den Ausfall des Generators 
nach 8000 Betriebsstunden in Abhängigkeit von den verschiedenen Streckenarten 
in Bezug auf die klassische Architektur und die Architektur mit zwei Spannungs- 
ebenen 


variieren über die verschiedenen Streckenarten hinweg nur geringfügig. Das 
Minimum von 0,815 Prozent ist den Streckenarten KA und LB zuzuordnen, 
das Maximum von 0,83 Prozent der Streckenart KC. 

In Abbildung 6.18 (b) sind die Eintrittswahrscheinlichkeiten für das Ereig- 
nis „verringerte Leistungsfähigkeit durch den Ausfall der Batterie“ dargestellt. 
Wie zu sehen ist, sind diese nahezu identisch mit den Eintrittswahrschein- 
lichkeiten für dieses Ereignis im Rahmen einer klassischen Architektur. Da 
durch den Ausfall des 12V-Energiespeichers sowohl in klassischen als auch in 
Architekturen mit zwei Spannungsebenen eine speicherlose Versorgung ent- 
steht, sind der Fehlerbaum und die Basisereignisse für beide Architekturarten 
identisch. Die Unterschiede in den Wahrscheinlichkeitswerten entstehen durch 
die unterschiedlich hohen Belastungen der Absicherung. In Abbildung 6.19 (i) 
sind die Wahrscheinlichkeiten für den Ausfall aller Sicherungen und in Abbil- 
dung 6.20 die Wahrscheinlichkeiten für den Ausfall der einzelnen Sicherungen 
dargestellt. Die Unterschiede in den Fehlerwahrscheinlichkeiten zwischen den 
Fahrprofilen KA bis LB resultieren aus den Unterschieden in den Belastungen, 
die mit den unterschiedlichen Fahrprofilen einhergehen. Hierbei gibt es eine 
stark positive Korrelation zwischen den Fehlerwahrscheinlichkeiten der einzel- 
nen Sicherungen und der Sicherungstemperatur sowie dem Sicherungsstrom 
(z. B. für die 12V-Batteriesicherung korreliert die Temperatur zur Wahrschein- 
lichkeit mit Rr = 0,87 Pr = 0,01 und der Strom zur Wahrscheinlichkeit mit 
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Abbildung 6.19: Eintrittswahrscheinlichkeiten der Basisereignisse nach 8000 Betriebsstunden für 
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alle Streckenarten bezüglich der Architektur mit zwei Spannungsebenen, einem 
Gleichspannungswandler und zwei Energiespeichern. Dargestellt sind die fol- 
genden Fehlerarten: (a) 48V-Generator offen, (b) 48V-Energiespeicher offen, 
(c) 48V-Energiespeicher kurzgeschlossen, (d) Gleichspannungswandler offen, 
(e) Gleichspannungswandler kurzgeschlossen, (f) 48 V-Generator Statorwicklung 
kurzgeschlossen, (g) 48V-Generator Gleichrichtung kurzgeschlossen, (h) Ausfall 
der elektrischen 48V- und 12V-Energieversorgung, (i) alle Sicherungen offen 
ausgefallen 
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Abbildung 6.20: Eintrittswahrscheinlichkeiten der Basisereignisse nach 8000 Betriebsstunden für 
alle Streckenarten bezüglich der Architektur mit zwei Spannungsebenen, einem 
Gleichspannungswandler und zwei Energiespeichern. Dargestellt sind die Ein- 
trittswahrscheinlichkeiten für Fehler der Art „offener Ausfall der Schmelzsi- 
cherung“ bezüglich der Sicherungen für die folgenden Komponenten: (a) 48V- 
Generator, (b) 12V-Energiespeicher, (c) 48V-Energiespeicher, (d) 12V-Ausgang 
Gleichspannungswandler, (e) 48V-Ausgang Gleichspannungswandler, (f) sicher- 
heitsrelevanter 12V-Verbraucher Vs 


R; = 0, 84 P; = 0, 02). 

In Abbildung 6.18 (c) sind auf der Grundlage des Fehlerbaums aus Abbil- 
dung 6.16 die Wahrscheinlichkeiten fiir das Eintreten des Ereignisses ,,redu- 
zierte Energie (Versorgung aus dem 12V-Energiespeicher) in der elektrischen 
Energieversorgung“ dargestellt. Die Wahrscheinlichkeiten nach 8000 Betriebs- 
stunden variieren dabei zwischen einem Minimalwert von 26,84 Prozent für 
das Streckenprofil LB und einem Maximalwert von 36,82 Prozent für das 
Streckenprofil KC. Die Wahrscheinlichkeiten für den Ausfall der elektrischen 
Energieversorgung sind deshalb deutlich höher als bei der oben untersuch- 
ten klassischen Architektur, weil zu den in der klassischen Architektur vor- 
handenen Fehlern die Fehler des 48V-Energiespeichers und des Gleichspan- 
nungswandler hinzukommen. Dabei erhöht der 48 V-Energiespeicher die Wahr- 
scheinlichkeit fiir den Ausfall der elektrischen Energieversorgung fiir jedes 
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Fahrprofil gleichermaßen. Auch hier dominieren die Fehler des Generators, 
wobei die Belastungen der Stator- und Läuferwicklung und somit deren Aus- 
fallwahrscheinlichkeit stark positiv mit der Fehlerwahrscheinlichkeit über die 
verschiedenen Streckenprofile korreliert (Ausfallrate Statorwicklung zu Wahr- 
scheinlichkeit Rs = 0,99 Ps = 0, Ausfallrate Läuferwicklung zu Wahrschein- 
lichkeit Rz = 0,99 PL = 0). 


6.2.4 Sensitivität der elektrischen Energieversorgung 
gegenüber Kurzschlüssen in nicht 
sicherheitsrelevanten Verbrauchern 


Die Wahrscheinlichkeit für das Auftreten eines Kurzschlusses in einem nicht 
sicherheitsrelevanten Verbraucher variiert in Abhängigkeit von der Art der 
jeweils fraglichen Komponente ohne Sicherheitsziel, wobei es teils deutli- 
che Unterschiede gibt. In einer Architektur mit zwei Spannungsebenen ist 
die Rückwirkungsfreiheit der einzelnen Verbraucher nur bedingt gewährleis- 
tet. Für die folgende Auswertung wird angenommen, dass der Ausfall eines 
nicht sicherheitsrelevanten Verbrauchers infolge eines Kurzschlusses zu einer 
kritischen Versorgungslage in der jeweiligen Spannungsebene führt. Hiervon 
sind sowohl sicherheitsrelevante als auch nicht sicherheitsrelevante Verbrau- 
cher betroffen. Auf der 48V-Spannungsebene führt ein Kurzschluss nicht si- 
cherheitsrelevanter Verbraucher zwar zu einem kurzzeitigen Ausfall der 48V- 
Spannungsebene, doch der Kurzschluss wird durch den Gleichspannungswand- 
ler isoliert. Auf die 12V-Spannungsebene wirkt sich der Fehler „Kurzschluss 
eines 48V-Verbrauchers“ daher wie ein offener Ausfall aus. 

In Abbildung 6.21 (a) und (b) sind die normierten Wahrscheinlichkeiten für 
das Eintreten des Ereignisses „Ausfall der elektrischen Energieversorgung“ 
in Gegenüberstellung zu den Ausfallraten der nicht sicherheitsrelevanten Ver- 
braucher auf der 12V- und der 48V-Spannungsebene dargestellt. Hierbei sind 
in (a) die normierten Wahrscheinlichkeiten für den Ausfall der elektrischen 
Energieversorgung in Abhängigkeit von der Ausfallrate des stellvertretend für 
die gesamte Gruppe betrachteten nicht sicherheitsrelevanten 12V-Verbrauchers 
für die klassische Architektur sowie für die Architektur mit zwei Spannungs- 
ebenen dargestellt. Wie deutlich zu erkennen ist, weichen die Sensitivitätswer- 
te für kleine Ausfallraten nur geringfügig voneinander ab. Mit zunehmender 
Ausfallrate nicht sicherheitsrelevanter Verbraucher nimmt die Sensitivität der 


252 


6.2 Zuverlässigkeitsbewertung von Energieversorgungsarchitekturen mit zwei Spannungsebenen 


10-3 
10 T T | 
x 12V | 1000, 6 |- = 
4 sh o12V/48V || x 
=> 61> L 2 | — 1000, 4 * | 
l x = x 
EN 2 en 
aye ab e 7 “12 1000, 2 : 4 
R : 5 l 
a e 4 T 
è 1000 F =» -= 
oi l l l N | | | 
0 02 04 0,6 0,8 0 02 04 0,6 08 
Ausfallrate Vi A/FIT —10* Ausfallrate V4g A/FIT —10* 


(a) (b) 


Abbildung 6.21: Normierte Wahrscheinlichkeiten für das Eintreten des Ereignisses „Ausfall der 
elektrischen Energieversorgung“ in Gegenüberstellung zu den Ausfallraten der 
nicht sicherheitsrelevanten Verbraucher V 


Architektur mit zwei Spannungsebenen gegenüber einem Kurzschluss in ei- 
nem Verbraucher hingegen deutlich zu. Für kleine Ausfallraten entspricht der 
Kurvenverlauf einer ganzrationalen Funktion ersten Grades, welche angenähert 
werden kann mit 

— A 29,47. 10% Aggy +0,07 (6.6) 
Pa (103771) > nsV > : : 
Für Ausfallraten > 1 - 10* FIT entspricht die dargestellte Regression nicht dem 
Kurvenverlauf und der Fehler zwischen Regression und dem tatsächlichen 
Kurvenverlauf nimmt zu. Zur Verringerung des Fehlers lässt sich der Verlauf 
für Ausfallraten > 1-104 FIT mit einer ganzrationalen Funktion zweiten Grades 
annähern. Es gilt: 


Pa = -9 42 -4 

Pa (10) = —2.7 - 107° - A) +9,36 - 10° + Ansy +0,38. (6.7) 
Bezogen auf die Architektur mit zwei Spannungsebenen fällt die Ausfallwahr- 
scheinlichkeit absolut betrachtet geringer aus, jedoch nimmt die Sensitivität 
der Architektur mit zwei Spannungsebenen gegenüber einem Kurzschluss 
in einem Verbraucher zu, da Kurzschlüsse im Generator durch den Gleich- 
spannungswandler isoliert werden und so keine Auswirkungen auf die 12V- 
Spannungsebene haben. 
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Ein Kurzschluss des 48V-Verbrauchers hat zwar deutliche Auswirkungen 
auf die 48V-Spannungsebene, jedoch verhindert der Gleichspannungswand- 
ler auch hier, dass der Fehler Auswirkungen auf die 12V-Spannungsebene 
hat. Daher ist die Sensitivität der elektrischen Energieversorgung gegenüber 
Kurzschlüssen der 48V-Verbraucher vernachlässigbar gering (vgl. hierzu Ab- 
bildung 6.21 (b)). 


6.2.5 Sensitivität der elektrischen Energieversorgung 
gegenüber Batteriefehlern 


Ein Ausfall des 12V-Energiespeichers beeinträchtigt auch in Architekturen 
mit zwei Spannungsebenen die Versorgung sicherheitskritischer Verbraucher. 
Zur Untersuchung der Sensitivität der elektrischen Energieversorgung gegen- 
über Batteriefehlern werden die folgenden Fehlerbilder des Energiespeichers 
analysiert: 


e am Lebensdauerende (EOL) angelangt, 
e tiefentladen, 
e kurzgeschlossen und 


e offen. 


In Abbildung 6.22 sind die Variationen der einzelnen Fehlerverteilungen ge- 
genüber der normierten Wahrscheinlichkeit fiir den Ausfall der elektrischen 
Energieversorgung der vorgestellten Architekturen dargestellt. Wie zu sehen 
ist, korrelieren die Batteriefehler „am Lebensdauerende (EOL) angelangt“, 
„tiefentladen“ und „offen“ in keiner der beiden Architekturen mit der normier- 
ten Wahrscheinlichkeit für den Ausfall der elektrischen Energieversorgung. 
Bezüglich des Fehlers „Batterie kurzgeschlossen“ besteht hingegen eine stark 
positive Korrelation. Der Kurvenverlauf entspricht einer ganzrationalen Funk- 
tion ersten Grades, deren Verlauf sich annähern lässt mit 


Pa 


——“*___ = 10,47: 10°? FAg. +1,0051. 6.8 
P4 (10347!) Pr = 
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Abbildung 6.22: Sensitivität der elektrischen Energieversorgung gegenüber den typischen Batte- 
riefehlern „Lebensdauerende (EOL) angelangt“, „tiefentladen“, „kurzgeschlos- 
sen“ und „offen“ bezüglich der klassischen Architektur und der Architektur mit 
zwei Spannungsebenen 


In Abbildung 6.22 (b) ist außerdem zu erkennen, dass die Sensitivität der elek- 
trischen 12V-Energieversorgung gegenüber Kurzschlüssen des 12V-Energie- 
speichers geringfügig höher ist als im Fall einer klassischen Architektur. Dies 
lässt sich ebenfalls aus dem Vergleich der Steigungen der beiden Gleichun- 
gen 6.3 und 6.8 ableiten. Die Sensitivität der 12V-Spannungsebene gegenüber 
dem kurzgeschlossenen Ausfall des 12V-Energiespeichers ist im Fall einer Ar- 
chitektur mit zwei Spannungsebenen deshalb höher als im Fall einer klassischen 
Architektur, weil in den Fehler „Ausfall der elektrischen Energieversorgung“ 
weniger Basisfehler direkt einwirken. Hierdurch ist auch die Wahrscheinlich- 
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keit fiir den Ausfall der elektrischen Energieversorgung niedriger, die Sensitivi- 
tät gegenüber den Basisfehlern „Verbraucher kurzgeschlossen“ bzw. „Batterie 
kurzgeschlossen“ jedoch erhöht. 


6.2.6 Sensitivität der elektrischen Energieversorgung 
gegenüber Generatorfehlern 


Wie bereits mit Bezug auf die klassische Architektur diskutiert, ist auch hin- 
sichtlich der Architektur mit zwei Spannungsebenen von Interesse, wie sich 
die Generatorfehler „offen“ und „kurzgeschlossen“ auf die Zuverlässigkeit 
der 12V-Spannungsebene auswirken. Den größten Fehleranteil und damit den 
größten Anteil an der Ausfallwahrscheinlichkeit des Generators haben inner- 
halb des in dieser Arbeit verwendeten Generatormodells (vgl. Unterkapitel 5.3 
die Fehler der Statorwicklungen und der Gleichrichtung. Daher wird im Fol- 
genden untersucht, wie sich verschiedene Variationen der Verteilungen von 
Fehlern des Generators auf die Wahrscheinlichkeit eines Ausfalls der elektri- 
schen Energieversorgung auswirken. In den Abbildungen 6.23 und 6.24 sind 
die normierten Wahrscheinlichkeiten für den Ausfall der elektrischen Ener- 
gieversorgung über die Fehlerverteilung der Statorwicklung dargestellt. Wie 
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(a) (b) 
Abbildung 6.23: Sensitivität der elektrischen Energieversorgung mit zwei Spannungsebenen ge- 


genüber den Generatorfehlern „Statorwicklung offen“ und „Statorwicklung kurz- 
geschlossen“ 
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bei der klassischen Architektur sind auch fiir die Architektur mit zwei Span- 
nungsebenen Ausfälle aufgrund kurzgeschlossener Statorwicklungen fiir die 
elektrische Energieversorgung kritisch. Bei einem Vergleich der Architekturen 
zeigt sich, dass auch in der Architektur mit zwei Spannungsebenen eine stark 
positive Korrelation des Kurzschlusses der Statorwicklung mit der normierten 
Wahrscheinlichkeit für den Ausfall der elektrischen Energieversorgung zu be- 
obachten ist. Die lineare Regression der normierten Wahrscheinlichkeit für den 
Ausfall der elektrischen Energieversorgung zur Verteilung des Fehlers ,,Stator- 
wicklung kurzgeschlossen“ lässt sich mit dem Anteil der kurzgeschlossenen 
Statorwicklung am Gesamtfehler FAg Ss angeben zu 


Pa 6 
Pa (10m) =7,13-10- FAgs, + 0,891. (6.9) 
Im Vergleich zu den Kurzschlussfehlern nicht sicherheitsrelevanter 12V- 
Verbraucher und dem Kurzschluss der Batterie ist der Einfluss des Fehlers ,,Sta- 
torwicklung kurzgeschlossen“ auf die Eintrittswahrscheinlichkeit des Ausfalls 
der elektrischen Energieversorgung in beiden Architekturen vernachlässigbar 
gering. 
Die Gleichrichtung des 48V-Generators wird in Architekturen mit zwei Span- 
nungsebenen über Leistungsschalter (z. B. Mosfets) realisiert. Dies führt zu 
geringeren Verlusten sowie zu geringeren Ausfallwahrscheinlichkeiten als bei 
Diodengleichrichtungen. Dieser Zusammenhang ist auch in Abbildung 6.13 zu 
erkennen. Im Fall der klassischen Architektur liegt die Steigung der normierten 
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(a) (b) (c) 
Abbildung 6.24: Sensitivität der elektrischen Energieversorgung gegenüber den Generatorfehlern 


„Leistungsschalter offen“, „Leistungsschalter kurzgeschlossen“ und „Leistungs- 
schalter gealtert“ 
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Wahrscheinlichkeit für den Ausfall der elektrischen Energieversorgung gegen- 
über der Zunahme der Wahrscheinlichkeit für Ausfälle der Generatorgleich- 
richtung infolge von Kurzschlüssen bei ca. 1,54 - 1073. Im Vergleich hierzu ist 
der Einfluss der Gleichrichtung auf die Gesamtausfallwahrscheinlichkeit der 
elektrischen Energieversorgung gering. Die Funktion der normierten Wahr- 
scheinlichkeit für den Ausfall der elektrischen Energieversorgung über den 
Anteil des Fehlers „Kurzschluss eines Leistungsschalters der Gleichrichtung“ 
FAGG, lasst sich angeben mit 


Pa -9 -7 
4 =5,1-10°- FAga, + (15-107). 6.10 
Pa (10h) GG, (6.10) 
Aus den gewonnenen Erkenntnissen lässt sich ableiten, dass die Variation der 
Fehlerverteilung des Generators und dessen Gleichrichtung keinen signifikan- 
ten Einfluss auf die Ausfallwahrscheinlichkeit der elektrischen Energieversor- 
gung besitzt. 


6.2.7 Sensitivität der elektrischen Energieversorgung 
gegenüber Fehlern des Gleichspannungswandlers 


Der Gleichspannungswandler koppelt die 12V- mit der 48V-Spannungsebene 
und versorgt im Wesentlichen die 12V-Verbraucher sowie den 12V-Energiespeicher 
mit Energie aus der 48V-Spannungsebene. Das für die vorliegende Untersu- 
chung eingesetzte Modell aus Unterkapitel 5.4 ist das Modell eines mehr- 
phasigen Wandlersystems, bei dem die Leistungsstufen aus mehreren parallel 
geschalteten Leistungsschaltern sowie Leistungs- und EMV-Filtern aufgebaut 
sind. Im Folgenden soll untersucht werden, wie sich die Ausfallwahrschein- 
lichkeit der elektrischen Energieversorgung verändert, wenn die Fehlervertei- 
lungen der Komponenten 


e Leistungsschalter, 
e Leistungsfilter und 


e EMV-Filter 


variiert werden. 
Zusätzlich zu den wesentlichen Komponenten des GSWs werden in dem hier 
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verwendeten Modell auch horizontale Trennschalter beriicksichtigt. Diese er- 
füllen, wenn innerhalb des GSWs ein Kurzschlussfehler auftritt, folgende An- 
forderungen (vgl. Abschnitt 5.4.5): 


1. Im Fehlerfall Kurzschluss eines High-Side-Leistungsschalters werden 
die horizontalen Trennschalter geöffnet, um die niederohmige Verbin- 
dung zwischen der 12V- und der 48V-Spannungsebene zu verhindern. 


2. Im Fehlerfall Kurzschluss eines Low-Side-Leistungsschalters werden die 
horizontalen Trennschalter geöffnet, um die niederohmige Verbindung 
zwischen dem 12V- und dem OV-(GND)-Potential zu verhindern. 


3. Im Fehlerfall Kurzschluss eines Leistungsfilters werden die horizontalen 
Trennschalter geöffnet, um die niederohmige Verbindung zwischen der 
12V- und der 48V-Spannungsebene zu verhindern. 


4. Im Fehlerfall Kurzschluss eines EMV-Filters werden die horizontalen 
Trennschalter geöffnet, um die niederohmige Verbindung zwischen dem 
12V- und dem OV-(GND)-Potential zu verhindern. 


Da alle Fehlerfälle auf eine der genannten Weisen abgesichert sind, führt der 
Kurzschluss eines Bauelements der fraglichen Komponenten in keinem Fall 
zu einem Ausfall der 12V-Spannungsebene. Im Allgemeinen gilt, dass alle 
internen Kurzschlussfehler des GSWs, die durch Fehler im seriellen Sicher- 
heitstrennschalter bedingt sind (dessen Funktion in der Verhinderung eines 
Kurzschlusses zwischen der niederohmigen HV- und LV-Verbindung besteht), 
zu einem offen ausgefallenen GSW führen. Somit wird die Wahrscheinlichkeit 
für einen internen GSW-Kurzschluss mathematisch als Teil der Wahrschein- 
lichkeit für einen offenen Ausfall des GSWs behandelt. 

Zur Untersuchung der Sensitivität der elektrischen Energieversorgung gegen- 
über Fehlern in den Komponenten des GSWs werden im Folgenden die Fehler- 
verteilungen der oben genannten Komponenten Leistungsschalter, Leistungs- 
filter und EMV-Filter variiert. Im Automobilsektor werden sowohl in der 12V- 
als auch in der 48V-Spannungsebene als Leistungsschalter Mosfets eingesetzt. 
Mosfets können 


e offen, 
e kurzgeschlossen oder 


e mit Parameterveränderung ausfallen. 


259 


Anwendung und Auswertung der Methode 


Zur Untersuchung der Sensitivität der elektrischen Energieversorgung gegen- 
über diesen Fehlern wurde die Verteilung der hier genannten Fehlerfälle vari- 
iert. Das Ergebnis dieser Parametervariation ist in Abbildung 6.25 dargestellt. 
Wie deutlich zu erkennen ist, nimmt mit Zunahme der Fehlerarten „offen“ und 
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Abbildung 6.25: Sensitivität der elektrischen Energieversorgung gegenüber den Fehlern der Leis- 
tungsstufe des Gleichspannungswandlers, mit den Einfachfehlern Mosfet fällt 
(a) offen, (b) kurzgeschlossen und (c) mit Parameterveränderung aus 


„gealtert“ die normierte Wahrscheinlichkeit für einen Ausfall der elektrischen 
Energieversorgung leicht ab. Es gibt jedoch keinen signifikanten Zusammen- 
hang zwischen dieser Abnahme der Wahrscheinlichkeit für einen Ausfall der 
elektrischen Energieversorgung und der Verringerung des Parameterwerts für 
„Mosfet offen bzw. gealtert“. Der Verlauf der normierten Wahrscheinlichkeit 
eines Ausfalls der elektrischen Energieversorgung korreliert hingegen stark 
positiv mit der Zunahme des Fehlers „kurzgeschlossen“. Die lineare Regres- 
sion der normierten Wahrscheinlichkeit über den Anteil des Fehlers „Mosfet 
kurzgeschlossen“ FAcrs, lässt sich angeben mit 


Pa 


I Zee FA 1=7:10°); 6.11 
Pa (1047!) ous, +( en) 


Aus Gleichung 6.11 lässt sich entnehmen, dass die Fehlerverteilung der Leis- 
tungsschalter keinen signifikanten Einfluss auf die Ausfallwahrscheinlichkeit 
der elektrischen Energieversorgung hat. 
Die Leistungs- und EMV-Filter können 


e offen oder 


e kurzgeschlossen 
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ausfallen. Auch anhand der Variationen der Fehlerverteilungen der Leistungs- 
und EMV-Filter lässt sich kein wesentlicher Einfluss auf die Ausfallwahr- 
scheinlichkeit der elektrischen Energieversorgung beobachten. Bei beiden 
Komponenten korreliert die Zunahme des Fehlers „kurzgeschlossen“ stark 
positiv mit der normierten Wahrscheinlichkeit für den Ausfall der elektri- 
schen Energieversorgung. Die Funktion der Regression für die normierte 
Wahrscheinlichkeit über der Zunahme des Anteils von Kurzschlussfehlern der 
Leistungsfilter FAgze, lässt sich angeben mit 


Pa -8 = 
_ A 545080108 FA +(1-2-10 h 6.12 
Pa (10%) GLE, (6.12) 
Bei einer Zunahme des Fehleranteils „EMV-Filter kurzgeschlossen“ FAGE M, 
nimmt die normierte Wahrscheinlichkeit fiir den Ausfall der elektrischen Ener- 
gieversorgung nicht wesentlich zu. Die Funktion der Regression mit den simu- 
lierten Datenpunkten lässt sich angeben mit 


Pa -8 -8 
— A Ze Sper +(1-4-10 ). 6.13 
Pa (10) GEM, (6.13) 
Hierbei sind die Parameter FAGL E, der Fehleranteil von Kurzschlussfehlern 
eines Leistungsschalters und FAGE M, die Fehleranteile der Kurzschlussfehler 
des EMV-Filters. 


6.3 Zusammenfassung: Anwendung und 
Auswertung der Methode 


In den beiden vorangegangenen Unterkapiteln wurden anhand der in Kapi- 
tel 3 vorgestellten Methode zwei Arten von Architekturen fiir die elektrische 
Energieversorgung in Kraftfahrzeugen, die klassische Architektur sowie die 
Architektur mit zwei Spannungsebenen und einem Gleichspannungswandler, 
im Hinblick auf ihre Zuverlässigkeit untersucht. Die Grundlage dieser abstra- 
hierten, modellbasierten Zuverlässigkeitsbewertung bilden die in Kapitel 5 
entwickelten Modelle für die in diesen Architekturen verbauten Komponen- 
ten. Ziel der Methode ist es, in frühen Entwicklungsphasen der automobilen 
Vorentwicklung Bewertungen der Zuverlässigkeit der beiden Arten von Ar- 
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chitekturen durchzufiihren. Zu diesem Zweck werden die zu Beginn dieses 
Kapitels beschriebenen Schritte durchgefiihrt, welche an dieser Stelle noch 
einmal abschließend zusammengefasst werden sollen: 


fr 


. Definition der Architektur und Auswahl der Komponentenmodelle 
. Festlegung des Fahrprofils bzw. der Belastungsprofile 


. Iterative Berechnung der physikalischen Größen und Ausfallraten 


A ù N 


. Berechnung der Eintrittswahrscheinlichkeiten der Hauptereignisse der 
jeweiligen Komponentenfehlerbäume 


5. Berechnung der Wahrscheinlichkeiten für das Eintreten der Hauptereig- 
nisse der Systemfehlerbäume 


6. Auswertung der berechneten Wahrscheinlichkeiten für das Eintreten der 
Hauptereignisse 


7. Sensitivitätsanalyse des Einflusses der Veränderung einzelner Fehlerver- 
teilungen und der Ausfallraten nicht sicherheitsrelevanter Verbraucher 
auf die Hauptereignisse der zu untersuchenden Fehlerbäume 


In den beiden vorangegangenen Unterkapiteln wurden die hier aufgelisteten 
Schritte zunächst am Beispiel der klassischen elektrischen Energieversorgung 
durchgeführt und daraufhin auch auf eine elektrische Energieversorgungsarchi- 
tektur mit zwei Spannungsebenen angewendet. Dabei konnte gezeigt werden, 
dass es in Architekturen mit einer zweiten Spannungsebene geringfügig selte- 
ner zu Ausfällen der elektrischen Energieversorgung kommt, sprich, dass diese 
Architektur eine geringfügig höhere Zuverlässigkeit aufweist (vgl. Abschnitt 
6.2.3.) 

Dariiber hinaus konnte gezeigt werden, dass die Wahrscheinlichkeit fiir einen 
Ausfall der elektrischen Energieversorgung primar von der Belastung der 
Komponenten der jeweiligen Teilsysteme abhängt, den Energiespeicher aus- 
genommen. Den größten Einfluss haben die Fehler des Generators und des 
Energiespeichers (Blei-Säure-Batterie). 

In den gegenwärtig zum Einsatz kommenden Serienarchitekturen werden in 
der elektrischen Energieversorgung sowohl sicherheitsrelevante als auch nicht 
sicherheitsrelevante Verbraucher über gemeinsame Versorgungspfade gespeist. 
Diesbezüglich wird angenommen, dass sicherheitsrelevante Verbraucher die 
Rückwirkungsfreiheit mit der ASIL-Integrität der eigenen Versorgungsanfor- 
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derung erfiillen. Deshalb geht im Fehlerfall nur von nicht sicherheitsrelevanten 
Verbrauchern ein Risiko aus. Sowohl fiir klassische als auch fiir Architekturen 
mit zwei Spannungsebenen konnte gezeigt werden, dass die Zuverlässigkeit der 
elektrischen Energieversorgung für sicherheitsrelevante Verbraucher wesent- 
lich von den Ausfallraten nicht sicherheitsrelevanter Verbraucher abhängt. So 
nimmt bei einer Zunahme der Ausfallraten nicht sicherheitsrelevanter Verbrau- 
cher auch die Ausfallwahrscheinlichkeit der elektrischen Energieversorgung 
deutlich zu (vgl. Abschnitt 6.2.4). 

Anhand der hier entwickelten modellbasierten Zuverlässigkeitsbewertung 
konnte zusätzlich auch die Sensitivität der elektrischen Energieversorgung 
gegenüber der Veränderung einzelner Parameter untersucht werden. Hierzu 
wurde für die verschiedenen möglichen Fälle die Sensitivität der elektrischen 
Energieversorgung gegenüber Veränderungen in den Fehlerverteilungen der 
jeweiligen Komponenten untersucht (vgl. die Abschnitte 6.2.5 bis 6.2.7). Da 
die Grundwahrscheinlichkeit eines Ausfalls der elektrischen Energieversor- 
gung bei einer Veränderung der Fehlerverteilungen in Summe gleich bleibt, 
konnte untersucht werden, welche Fehler in welchen Komponenten in welcher 
Weise und in welchem Ausmaß die Zuverlässigkeit der elektrischen Energie- 
versorgung beeinflussen. Diesbezüglich sind in Tabelle 6.2 die Steigungen der 
jeweiligen Regressionen sortiert gelistet. Aus der Reihenfolge der Steigungen 


Architektur Komponente Fehler Steigung 
12V/48V Batterie Kurzschluss | 1,05E-01 
12V Batterie Kurzschluss | 9,31E-02 
12V Generator Gleichrichtung Kurzschluss | 1,54E-03 
12V/48V 12V-Verbraucher Kurzschluss | 9,47E-04 
12V 12V-Verbraucher Kurzschluss | 8,40E-04 
12V/48V Generator Statorwicklung Kurzschluss | 7,13E-06 
12V Generator Statorwicklung Kurzschluss | 5,89E-06 
12V/48V Gleichspannungswandler Mosfet Kurzschluss | 7,10E-08 
12V/48V Gleichspannungswandler EMV-Filter | Kurzschluss | 1,31E-08 
12V/48V Gleichspannungswandler LE-Filter | Kurzschluss | 1,08E-08 
12V/48V Generator Gleichrichtung Kurzschluss | 5, 10E-09 


Tabelle 6.2: Steigungen der auf die Wahrscheinlichkeit für einen Ausfall der elektrischen Ener- 
gieversorgung normierten Regressionen zu den untersuchten Komponentenfehlern 
(absteigend nach Größe sortiert) 


kann abgeleitet werden, dass der Kurzschlussfehler des 12V-Energiespeichers 
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in beiden Architekturen den größten Einfluss auf die Zuverlässigkeit der elek- 
trischen Energieversorgung besitzt. Einen ebenfalls deutlichen Einfluss hat 
auch der Fehler „Kurzschluss der Generatorgleichrichtung“. Die Kurzschluss- 
fehler der Leistungshalbleiter des Gleichspannungswandlers haben hingegen 
einen vernachlässigbar geringen Einfluss auf die Zuverlässigkeit der elektri- 
schen Energieversorgung. 

Angesichts der in Abschnitt 6.2.3 ermittelten Wahrscheinlichkeiten werden die 
Unterschiede in der Zuverlässigkeit der jeweiligen Architekturen ersichtlich. 
Die Wahrscheinlichkeit für einen Ausfall der elektrischen Energieversorgung 
auf der 12V-Spannungsebene nach 8000 Betriebsstunden beträgt im Falle der 


e klassischen Architektur 0,91 Prozent und 


e im Falle der Architektur mit zwei Spannungsebenen 0,82 Prozent. 


Für eine abschließende Bewertung der berechneten Wahrscheinlichkeiten für 
den Ausfall der elektrischen Energieversorgung werden diese nachfolgend, 
umgerechnet auf eine Betriebsstunde, mit den Grenzwerten aus Tabelle 2.1 
verglichen. In Abbildung 6.26 sind die Grenzwertbereiche aus der ISO 26262 
und der IEC 61508 sowie die in der vorliegenden Arbeit berechneten Wahr- 
scheinlichkeiten für den Ausfall der elektrischen Energieversorgung bezüglich 
beider Architekturen für die bekannten Fahrprofile (vgl. Tabelle 6.1) nach ei- 
ner Betriebsstunde dargestellt. Die Ausfallrate von nicht sicherheitsrelevanten 
Verbrauchern wurde von 1000 FIT (Vıo00) auf 1 FIT (V1) reduziert. Dabei 
wurde deutlich, dass im Falle einer hohen Fehlerwahrscheinlichkeit nicht si- 
cherheitsrelevanter Verbraucher (Vıo00) keine der beiden Architekturen zur 
Versorgung hochautomatisierter Assistenzsysteme geeignet ist. Denn laut der 
in Tabelle 4.1 durchgeführten Ableitung von Sicherheitszielen müssen sicher- 
heitsrelevante Assistenzsysteme mit der Integrität ASIL-D versorgt werden, 
wohingegen hier nur eine ASIL-B-Integrität erreicht werden kann. 

Die Zuverlässigkeit beider Architekturen verbessert sich deutlich, wenn an- 
genommen werden kann, dass jeder relevante Fehler eines nicht sicherheits- 
relevanten Verbrauchers und dessen Zuleitung isoliert? werden kann. Werden 
entsprechende Komponenten in die elektrische Energieversorgung eingeführt, 
kann zumindest die Architektur mit zwei Spannungsebenen eine zuverlässige 


6 Eine solche Fehlerisolation kann z. B. durch den Austausch von Schmelzsicherungen gegen 
Leistungshalbleiter realisiert werden. 
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Abbildung 6.26: Vergleich der anhand der hier entwickelten Methode berechneten Wahrscheinlich- 
keiten fiir den Ausfall der elektrischen Energieversorgung mit den Grenzwerten 
laut ISO 26262 und IEC 61508 


Versorgung sicherheitsrelevanter Verbraucher gewährleisten. 

Eine weitere Möglichkeit zur Erhöhung der Zuverlässigkeit ist die Einführung 
von Redundanzen (vgl. Abschnitt 2.3.4). Dies bedeutet, dass die sicherheitsre- 
levanten Verbraucher über zwei identische’, jedoch voneinander unabhängige 
elektrischen Energieversorgungssysteme mit Energie versorgt werden. Wie in 
Abbildung 6.26 deutlich zu erkennen ist, kann auf diese Weise bezüglich bei- 
der Architekturen eine erhebliche Verbesserung der Zuverlässigkeit erreicht 
werden. 

Die Zuverlässigkeit kann noch weiter gesteigert werden, indem die beiden 
hier untersuchten Ansätze, also Fehlerisolation und Redundanz, miteinander 
kombiniert werden. Aus dieser Kombination ergeben sich sehr zuverlässige 
elektrische Energieversorgungssysteme. 


7 Tdentisch bedeutet hierbei, dass es sich um identische Energiesysteme und in diesem Sinne um 
eine homogene Redundanz handelt. Um die Möglichkeit des Auftretens systematischer Fehler 
auszuschließen, wäre allerdings die Einführung inhomogener Redundanzen erforderlich, also 
die Verwendung von unterschiedlich konstruierten Energiesystemen (vgl. Abschnitt 2.3.2). 
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7.1 Zusammenfassung 


In der vorliegenden Arbeit wurde eine Methode entwickelt, die eine Zuver- 
lässigkeitsbewertung technischer Systeme auch im Rahmen der automobilen 
Vorentwicklung ermöglicht. Die bisher zur Verfügung stehenden Methoden 
waren zu diesem Zweck nur bedingt geeignet. Denn in dieser frühen Phase 
der Fahrzeugentwicklung sind (im Unterschied zur Serienentwicklung) nur 
unzureichende Entwicklungsdaten vorhanden. Das liegt zum einen daran, dass 
— der Natur der Vorentwicklung geschuldet — neue Komponenten nicht voll- 
ständig spezifiziert sind und dass auch bezüglich bereits ausgereifter Kompo- 
nenten nicht immer vollständige empirische Daten vorhanden sind. Die hier 
vorgestellte Methode greift auf Daten aus Handbüchern sowie aus eigenen 
Untersuchungen des Autors [110], [108], [109] zurück, um die genannten Ein- 
schränkungen in der Datenlage zu kompensieren und es so auch im Rahmen 
der Vorentwicklung zu ermöglichen, die für die Zuverlässigkeitsbewertung 
technischer Systeme erforderlichen Kenngrößen zu berechnen und für weitere 
Analysen zu nutzen. Zur Validierung der hier entwickelten Methode wurde 
diese beispielhaft auf das Gesamtsystem der automobilen elektrischen Ener- 
gieversorgung hochautomatisierter Systeme angewendet. 

In Kapitel 3 wurden zunächst die sich aus der eingangs beschriebenen Pro- 
blematik ergebenden Zielfragestellungen für die Entwicklung einer Methode 
zur Bewertung der Zuverlässigkeit technischer Systeme in der automobilen 
Vorentwicklung hergeleitet. Diese lauten: 


1. Welche Grundanforderungen bestehen aus rechtlicher und normativer 
Perspektive an die elektrische Energieversorgung sicherheitsrelevanter 
Verbraucher? 


2. Kann die Zuverlässigkeit in der automobilen Vorentwicklung auf der 
Basis einer Kombination aus abstrakten Modellen zukünftiger Kom- 
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ponenten und Erfahrungswerten aus Felddaten und Studien bewertet 
werden? 


3. Welche Faktoren beeinflussen die Zuverlässigkeit der elektrischen Ener- 
gieversorgung? 


Anschließend wurden die wesentlichen Aspekte diskutiert und die Ergebnisse 
dieser Diskussion zusammengefasst. Die zentrale Erkenntnis lautet, dass die 
Zuverlässigkeit des Gesamtsystems im Kontext der vorliegenden Arbeit, also 
der elektrischen Energieversorgung, maßgeblich davon abhängt, wie häufig die 
dieses System konstituierenden Komponenten fehlerhaft werden und dadurch 
einzelne sicherheitsrelevante Funktionen sowie die Zuverlässigkeit des Sys- 
tems im Gesamten beeinträchtigen. Damit war es möglich, die Zielstellung für 
die hier zu entwickelnde Methode für die Zuverlässigkeitsbewertung techni- 
scher Systeme im Rahmen der automobilen Vorentwicklung zu formulieren: 
Es musste ein Weg gefunden werden, um die Ausfallraten bzw. die daraus zu 
berechnenden Fehlerwahrscheinlichkeiten aller Komponenten des jeweils zu 
untersuchenden technischen Systems zu ermitteln. 

Im Zuge der in dieser Arbeit durchgeführten Untersuchungen zeigte sich, dass 
bezüglich der hier betrachteten Komponenten ein massives Datendefizit be- 
steht. Ausfallraten der fraglichen Komponenten oder zumindest Rohdaten, aus 
denen sich diese ermitteln ließen, finden sich in der Literatur bzw. bei den 
Herstellern entweder gar nicht oder wenn, dann nur in unzureichender Menge 
und Qualität. Die primäre Ursache hierfür ist, dass die entsprechenden Daten 
meist erst gar nicht erhoben werden (oder wenn, dann nicht nach Maßgabe 
wissenschaftlicher Methoden und mit hinreichender Sorgfalt bezüglich sol- 
cher Aspekte wie Vollständigkeit und Vergleichbarkeit). Hinzu kommt, dass 
Daten, wenn sie vorhanden sind, nur selten vollständig publiziert werden. Vor 
diesem Hintergrund greift die im Rahmen der vorliegenden Arbeit entwickelte 
Methode zur Zuverlässigkeitsbewertung technischer Systeme auf zwei alter- 
native Datenquellen zurück: zum einen auf Komponentenmodelle und zum 
anderen auf eigene Untersuchungen, in denen Felddaten erhoben wurden, auf 
deren Basis die erforderlichen Ausfallraten berechnet werden können. Die in 
dieser Arbeit vorgestellte Methode basiert also sowohl auf empirischen Daten 
als auch auf modellbasierten Berechnungen. 

Wie oben erwähnt, wurde die hier entwickelte und vorgestellte Methode zur 
Validierung auf die automobile elektrische Energieversorgung angewendet. 
Dieses System wird aufgrund des nachhaltigen Trends zur Realisierung immer 
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höherer Automatisierungsgrade in der Längs- und Querführung von Kraftfahr- 
zeugen immer komplizierter, da eine stetig zunehmende Anzahl von Assis- 
tenzsystemen und entsprechend erforderlichen sicherheitsrelevanten Funktio- 
nen mit elektrischer Energie versorgt werden müssen. In Kapitel 4 wurden 
daher die Funktionen der verschiedenen heute eingesetzten Assistenzsysteme 
sowie die sich daraus ergebenden spezifischen Anforderungen an die Versor- 
gungsspannung und die Zuverlässigkeit der elektrischen Energieversorgung 
hergeleitet und diskutiert. 

Zusätzlich war es erforderlich, die für Seriensysteme notwendig einzuhalten- 
den Grenzwerte abzuleiten. Dies geschah im Rahmen der in Unterkapitel 4.6 
durchgeführten Risiko- und Gefahrenanalyse. 

Zur Durchführung einer reliablen Zuverlässigkeitsanalyse sind reale Belas- 
tungsdaten der einzelnen Komponenten erforderlich. Zur Generierung dieser 
Daten wurden im Rahmen der vorliegenden Arbeit daher bei variierenden Um- 
weltbedingungen und mit unterschiedlichen Fahrzeugen Fahrversuche auf drei 
verschiedenen Streckenarten (Kurz-, Lang- und Pendlerstrecke) durchgeführt. 
Die Auswertung der Ergebnisse dieser Versuche findet sich in Unterkapitel 5.1. 
Die hier entwickelte Methode ermöglicht Zuverlässigkeitsbewertungen techni- 
scher Gesamtsysteme auf der Basis von Zuverlässigkeitsbewertungen der diese 
Systeme konstituierenden Komponenten. Für die Zuverlässigkeitsbewertung 
der im Rahmen der vorliegenden Arbeit betrachteten wesentlichen Kompo- 
nenten der elektrischen Energieversorgung, nämlich der Blei-Säure-Batterie, 
dem Generator und dem Gleichspannungswandler, wurden zwei verschiede- 
ne Arten von Zuverlässigkeitsmodellen verwendet: Bezüglich der Blei-Säure- 
Batterie kam ein rein stochastisches, datengetriebenes Modell zum Einsatz. Die 
Analysen für die Zuverlässigkeitsbewertungen des Generators und des Gleich- 
spannungswandlers wurden hingegen mithilfe physikalischer Modelle durch- 
geführt, die ihrerseits auf Informationen aus den Handbüchern FIDES [48], 
HDBK-217Plus [130] und SN29500 [151] basieren. 

Das Modell der Blei-Säure-Batterie wurde auf der Basis eigener Auswer- 
tungen von Felddaten von 436.357 Blei-Säure-Batterien erstellt und in Un- 
terkapitel 5.2 vorgestellt. Wie gezeigt werden konnte, ist eine parametrische 
Weibull-Verteilung die am besten geeignete mathematische Annäherung an die 
tatsächliche Verteilung der empirisch beobachteten Ausfälle von Blei-Säure- 
Batterien. Die mittels Partikelschwarmoptimierung gesuchten und gefundenen 
Parameter sind in Tabelle 5.4 gelistet. 

Das Modell des Generators setzt sich aus dem physikalischen Modell des Gene- 
rators als einer zentralen Komponente der elektrischen Energieversorgung und 
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dem Modell zur Durchführung der Zuverlässigkeitsbewertung zusammen. Das 
physikalische Modell des Generators besteht dabei aus den Gleichungen 5.16 
bis 5.27 und findet sich zusammen mit Detailbeschreibungen der einzelnen 
Fehlerbilder des in dieser Arbeit modellierten Klauenpolgenerators in den 
Abschnitten 5.3.2 und 5.3.1. Das Zuverlässigkeitsmodell für den Generator 
besteht aus den Gleichungen 5.29 bis 5.39 und findet sich in Abschnitt 5.3.5. 
Der Vorteil dieser Auftrennung und der objektorientierten Realisierung mit 
Matlab liegt darin, dass dieses Vorgehen eine Modularisierung zulässt: Um 
verschiedene Komponenten zu analysieren, müssen nur die jeweiligen physi- 
kalischen Modelle variiert werden. Das Zuverlässigkeitsmodell hingegen ist 
allgemeingültig und kann somit für die Analyse verschiedener Komponenten 
beibehalten werden. 

Für einen in Serie eingesetzten Gleichspannungswandler wurden in Unterkapi- 
tel 5.4 eine exemplarische Architektur und deren Modellbildung anhand phy- 
sikalischer Grundgleichungen für leistungselektronische Komponenten vor- 
gestellt und mittels eigens durchgeführter Messungen validiert. In Kapitel 6 
wurde die hier entwickelte Methode schließlich auf ein elektrisches Ener- 
gieversorgungssystem mit klassischer Architektur sowie auf ein System mit 
zwei Spannungsebenen und einem bidirektionalen Gleichspannungswandler 
mit vier gekoppelten Phasen angewendet. Die Validierung der Ergebnisse er- 
folgte anhand eines Abgleichs mit den Ergebnissen für die Temperatur- und 
Verlustleistungsmessungen eines Gleichspannungswandlers aus der Serienpro- 
duktion (vgl. Unterkapitel 5.4). 

Das Hauptergebnis der vorliegenden Arbeit lautet, dass es anhand der hier 
entwickelten Methode auch in der Vorentwicklung - also trotz einer deutlich 
schlechteren Datenlage — möglich ist, Zuverlässigkeitsbewertungen durchzu- 
führen. Konkret konnten durch die Anwendung der Methode drei Dinge gezeigt 
werden: 


1. Klassische elektrische Energieversorgungssysteme sind zur Versorgung 
von Verbrauchern hochautomatisierter Assistenzsysteme nicht geeignet. 


2. Fehler in nicht sicherheitsrelevanten Verbrauchern müssen von der elek- 
trischen Energieversorgung für sicherheitsrelevante Verbraucher isoliert 
werden. 


3. Die maximal erreichbare Zuverlässigkeit einer elektrischen Energiever- 
sorgung mit voller Redundanz und ohne Fehlerisolation nicht sicher- 
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heitsrelevanter Verbraucher liegt laut der hier entwickelten Methode bei 
ASIL-D. 


Gemessen an den in Unterkapitel 4.4 abgeleiteten Anforderungen und Sicher- 
heitszielen kann also eine hinreichend zuverlässige Versorgung gewährleistet 
werden. 


7.2 Ausblick 


Die in dieser Arbeit entwickelte Methode zur Zuverlässigkeitsbewertung tech- 
nischer Systeme in der automobilen Vorentwicklung lässt eine breite und 
domänenunabhängige Anwendung zu. Aufgrund der hier durchgeführten Me- 
thodenentwicklung und parallelen Untersuchung in Bezug auf die automobile 
elektrische Energieversorgung konnte eine wesentliche Teilkomponente der 
elektrischen Energieversorgung, nämlich die Vernetzung, nicht vollständig in 
die vorliegende Untersuchung einbezogen werden. Der Grund hierfür liegt 
in der Komplexität der Vernetzung, die von Fahrzeughersteller zu -hersteller 
variiert und entsprechend in jeder Fahrzeugarchitektur anders realisiert ist. Die 
im Rahmen dieser Arbeit entwickelte modellbasierte Berechnungsbibliothek 
bietet jedoch die Möglichkeit einer einfachen Anbindung weiterer Bibliothe- 
ken. Auf diese Weise können auch jene Komponenten der Vernetzung (wie 
z. B. Leitungen, Splices, Verteilstellen und Hauptverteiler) mit in die Modell- 
berechnungen aufgenommen werden, die im Rahmen der vorliegenden Arbeit 
nicht betrachtet werden konnten. In diesem Zusammenhang ist auch zu erwäh- 
nen, dass ein Modul für automobilspezifische Leistungsrelais bereits in das 
hier entwickelte Modell integriert ist. 

Für weitere Untersuchungen ist also von Interesse, welchen Einfluss die ver- 
schiedenen Komponenten der Vernetzung bzw. dieses Teilsystem als Ganzes 
auf die Zuverlässigkeit der elektrischen Energieversorgung hat. Zusätzlich kann 
für zukünftige Arbeiten über die Zuverlässigkeit der automobilen elektrischen 
Energieversorgung von Interesse sein, welche Fehler der Vernetzungskompo- 
nenten den Ausfall der elektrischen Energieversorgung für sicherheitsrelevante 
Verbraucher beeinflussen. 
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Weiteres Forschungspotential 


Wie in der vorliegenden Untersuchung herausgearbeitet wurde, besteht eines 
der größten Probleme bei der Entwicklung von Methoden zur Zuverlässigkeits- 
bewertung in der automobilen Vorentwicklung in der mangelnden Verfügbar- 
keit von Zuverlässigkeitskennzahlen zu den in der automobilen elektrischen 
Energieversorgung verwendeten Komponenten. In der Serienentwicklung wer- 
den als Datenquellen für die Ausfallraten dieser Komponenten häufig Stan- 
dards wie die SN-29500 genutzt. Weder die dort behandelten Komponenten 
noch die daraus parametrierten Modelle haben aber einen Bezug zu den hier 
untersuchten automobilspezifischen Komponenten. Zusätzlich werden einige 
Komponenten wie z. B. die Blei-Säure-Batterie in den aktuell in der Literatur 
zur Verfügung stehenden Handbüchern nicht bezüglich deren Zuverlässigkeit 
beschrieben. Durch die Einbeziehung von eigenen Daten aus Werkstattauf- 
zeichnungen zum Austausch fehlerhafter Blei-Säure-Batterien wurde im Rah- 
men der vorliegenden Arbeit zwar versucht, zur Veröffentlichung von Ausfall- 
und Fehlerdaten beizutragen. Das Modell bildet aber offenkundig nicht alle 
Arten von Energiespeichern und sicher auch nicht alle Formen spezifischen 
Nutzungsverhaltens ab. Um ein umfassenderes Verständnis über das Zuver- 
lässigkeitsverhalten der verschiedenen in der Praxis eingesetzten Energiespei- 
cherarten zu gewinnen, sind also weiterführende Arbeiten auf der Basis anderer 
Datenquellen notwendig. Die Blei-Säure-Batterie z. B. wird in der Zukunft 
mit hoher Wahrscheinlichkeit durch Lithium-Ionen-Energiespeicher abgelöst. 
Das Zuverlässigkeitsverhalten dieser Energiespeicher ist im Feld noch nicht 
weitreichend untersucht. Stehen durch weitere Untersuchungen entsprechen- 
de Informationen zur Verfügung, führt dies in der Regel zu einem besseren 
Systemverständnis, was wiederum eine kosteneffiziente Systemoptimierung 
ermöglicht. 

Zum aktuellen Zeitpunkt existiert bezüglich der in der automobilen elektri- 
schen Energieversorgung verwendeten Komponenten kein allgemeingültiger 
Standard bzw. Datensatz mit Zuverlässigkeitskennzahlen aus Felddaten. Wei- 
terführende Arbeiten könnten sich daher dem Aufbau eines zentralen Daten- 
banksystems widmen, in dem die konstruktionsbedingten Fehler und nutzungs- 
bedingten Schäden aller Komponenten aller Hersteller dokumentiert werden 
und das auf dieser Grundlage unter Verwendung von Methoden wie der hier 
vorgestellten die automatisierte Berechnung von Zuverlässigkeitskennzahlen 
erlaubt. Würden zusätzlich auch physikalische Belastungsparameter aufge- 
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7.2 Ausblick 


zeichnet, ließen sich auftretende Fehlerfälle präziser einordnen. In diesem 
Sinne wird empfohlen, einen einheitlichen Standard für die Zuverlässigkeits- 
bewertung automobiler Komponenten einzuführen, zumindest für Fahrzeuge 
mit hochautomatisierten Systemen. Mit den so gewonnenen Daten ließen sich 
neue Entwicklungen präziser spezifizieren und früher validieren. Auf diese 
Weise ließen sich Systeme zukünftig deutlich besser absichern. 


273 


A Anhang 


A.1 Auswertung Fahrzyklus Pendlerstrecke A3 
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Abbildung A.1: AUDI A3 Gesamt Pendlerstrecke Geschwindigkeits- (a) und Motordrehzahlver- 
lauf (c) wahrend einer Messfahrt auf der Kurzstrecke. Die Dichteverteilung fiir 
die Geschwindigkeit in (b) und fiir die Motordrehzahl in (d). 
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A.2 Auswertung Fahrzyklus Pendlerstrecke A8 
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Abbildung A.2: Audi A8 Gesamt Pendlerstrecke Geschwindigkeits- (a) und Motordrehzahlverlauf 
(c) während einer Messfahrt auf der Kurzstrecke. Die Dichteverteilung für die 
Geschwindigkeit in (b) und für die Motordrehzahl in (d). 
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A.3 Auswertung Fahrzyklus Pendlerstrecke lang A3 


A.3 Auswertung Fahrzyklus Pendlerstrecke lang 
A3 
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Abbildung A.3: Audi A3 Gesamt Pendlerstrecke lang Geschwindigkeits- (a) und Motordrehzahl- 
verlauf (c) während einer Messfahrt auf der Kurzstrecke. Die Dichteverteilung fiir 
die Geschwindigkeit in (b) und fiir die Motordrehzahl in (d). 
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A.4 Auswertung Fahrzyklus Pendlerstrecke lang 
A8 


-10=3 -107° 
60 T I 3 T I 
V = 47, 88 km/h A = 1157, 78 min’! 
op w 27 | 
£ £ 
5 3 
3 3 
D D 
8 & al | 
= = 
m 2 
A A 
0 
0 50 100 150 0 1,000 2,000 3,000 4,000 
Geschwindigkeit v/km/h —> Motordrehzahl n/min~! — 
(a) (b) 
-107° -107° 
j 
= 1 
ob ob 
=) =) 
3 = 
H H 
2 20} + S 
O oO 
£ £ 
g= 2 
A A 
0 
-100 -50 0 50 100 0 50 100 150 200 
Strom I/A — Strom YA — 
(c) (d) 


Abbildung A.4: Audi A8 Gesamt Pendlerstrecke lang Geschwindigkeits- (a) und Motordrehzahl- 
verlauf (c) während einer Messfahrt auf der Kurzstrecke. Die Dichteverteilung fiir 
die Geschwindigkeit in (b) und fiir die Motordrehzahl in (d). 
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A.5 Auswertung Fahrzyklus Langstrecke A3 
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Abbildung A.5: Audi A3 Gesamt Langstrecke Geschwindigkeits- (a) und Motordrehzahlverlauf 


(c) während einer Messfahrt auf der Kurzstrecke. Die Dichteverteilung für die 
Geschwindigkeit in (b) und fiir die Motordrehzahl in (d). 
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A.6 Auswertung Fahrzyklus Langstrecke A8 
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Abbildung A.6: Audi A8 Gesamt Langstrecke Geschwindigkeits- (a) und Motordrehzahlverlauf 
(c) während einer Messfahrt auf der Kurzstrecke. Die Dichteverteilung für die 
Geschwindigkeit in (b) und fiir die Motordrehzahl in (d). 
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